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EDITOHULE 

UN PERCDRSD 
"TECNICD" 



ono molto contento, davvero, della grande 
partecipazione, di lettori e iscritti al forum, con idee e 
progetti per fare crescere la rivista. 
E' un piacere scaricare la posta o leggere i vari topic 
del forum e trovare contributi davvero interessanti. 
Continuate così. 

Ok, finite le "celebrazioni interne", voltiamo pagina. 
In questo numero 199, preludio al 200 che attendiamo 
tutti con grande ansia, si conclude in modo davvero 
scoppiettante l'articolo su Ossee dell'ottimo Giovanni 
Federico. 

Sono un po' come Mourinho, non mi piace mai parlare 
molto dei singoli, però questa volta faccio un'eccezione 
perché questo articolo mi sembra uno dei migliori 
in assoluto, non parlo solo di HJ, degli ultimi tempi. 
Davvero godibilissimo. Voi che ne pensate? 
Dato a Giovanni quello che è di Giovanni, mi permetto 
di segnalare, sempre su questo numero 199, anche 
l'articolo di Rambaldi sulla Pila-ISO, un argomento che 
viene trattato poco ma che, concettualmente, è molto 
interessante. 

Forse, come qualcuno mi segnala, ci vorrebbe più 
spazio. Quando articoli come Ossee assorbono da soli 
7-8 pagine, non ne rimangono molte per trattare in modo 
approfondito altri argomenti. 
Sarebbe bello avere una rivista da 64 pagine, ma 
accontentiamoci e godiamo del fatto che si tratta di 
pagine sempre molto dense, piene, senza pubblicità e, 
salvo qualche piccolo peccato veniale della redazione, 
degne di essere lette e conservate con cura. 



ratono@hackerjournal. 
uesto indirizzo è stato creato 
r inviare articoli, codici, spunl 
e idee. E' quindi proprio una 

sorta di "incubatore 
di idee". 

posta@hackerjournal.it 
E' l'account creato per 
l'omonima rubrica che è 
{comparsa nelle pagine della 
ista. A questo indirizzo dovet 
iviare tutte le mail che vole 
vengano pubblicate su H, 1 

redazione@hackerjournal 
ìuesto è l'indirizzo canoni 
Quello con cui potete avei 
un filo diretto, sempre, ce 
la redazione, per qualsia: 
•otivo che non rientri nelle 
recedenti categorie di poi 






Un saluto a tutti 



rispetto al solito, scrivere questo editoriale 
ma per manifestare in modo diretto il mio 
apprezzamento per la partecipazione di tutti, ma si tratta, 
naturalmente, del pensiero condiviso da parte di tutta la 
redazione, come sempre. In questo senso siamo molto 
democratici. 



NEWS 



La Posta di HJ 



Il log di sistema in 



16 Multi Router Traffic 



20 Sniffing 

23 OSSEC: Host-based 
Intrusion Detection & Log 
Monitoring - Parte II 



30 Blooover: l'aspiratutto 




<$> 




3 



Di 



CONSUMO 



5**2 



Ci eravamo ripromessi di non 
affrontare l'argomento iPad 
perché tutto sommato se ne 
parla già tanto e a sproposito, 
ed è, giustamente o ingiustamente, 
snobbato a certi livelli (riviste tecniche 
come questa non dovrebbero forse 
occuparsene più di tanto. . .). Tuttavia 
è una di quelle cose, tipo l'Isola dei 
Famosi, che nessuno guarda ma di cui 
tutti, curiosamente, conoscono dettagli, 
scandali e retroscena. Insomma, per dirla 
in parole povere, interessa. 
Quindi ci sembra interessante analizzare 
l'argomento dal punto di vista, però, delle 
linee guida del mercato. 
Molti avranno notato una crescita 
esponenziale nella 
proposta dei 
cosiddetti netbook, 
PC a basso costo 
equipaggiati con 
processori non 
particolarmente 
potenti e 
adatti, come 
suggerisce 
il nome, per 
navigare in 
internet, spedire 
mail o utilizzare 
programmi 
d'ufficio poco 
esigenti in 
termini di risorse 
hardware. 
E' un mercato 
in grandissima 
crescita ed è logico 
che Apple lo abbia 






seguito con grande interesse. Semmai, 
il problema della casa di Cupertino 
era, ed è, di non potere realizzare un 
netbook sotto i 300 dollari perché i 
margini di guadagno, raffrontati ai costi 
di produzione, non sono sufficienti. 
Quindi Apple è rimasta alla finestra per 
un po', non potendo collocare portatili sul 
mercato a quei prezzi. 
Non stiamo qui a valutare l'incidenza 
dei fornitori di Apple rispetto a quelli 
della concorrenza, quello che ci preme 
davvero sottolineare è come Apple, in 
modo geniale, non potendo inserirsi in 
quel mercato ne abbia creato un altro: 
quello dei tablet ultraportatili, insomma, 
dell'iPad. 




Se ci pensate bene, rispetto alle 
caratteristiche tecniche l'iPad costa 
davvero molto, però è bello, stiloso, tutti 
lo vorranno avere. Design e percezione 
di grande pregio servono, in buona 
sostanza, a giustificare un prezzo più alto 
rispetto a quello dei netbook. 
Apple andrebbe studiata da vicino da 
chiunque voglia approcciare il mercato 
con qualsiasi prodotto. 
Non vende degli apparecchi ma degli 
ideali. L'iPhone è più caro della maggior 
parte degli smartphone in circolazione 
(alcuni dei quali sono decisamente 
migliori dal punto di vista tecnico) eppure 
tutti vorrebbero averne uno. Vogliamo poi 
parlare dell'iPad? 

Insomma per sfondare sul mercato 
l'innovazione e la tecnologia servono 
solo in parte. Aiutano 
marketing e idee. Steve 
Jobs lo sa. E noi? 
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THREAT ALERT 

Nel suo primo bollettino 
- Consumer Threat Alert, 
■cAfee avvisa i consumatori 
che il cosiddetto "scareware," 
o software antivirus fasullo, 
potrebbe essere la causa 
dei principali danni fisici ed 
economici per gli utenti e i loro 
computer nel 2010. Grazie al 
nuovo programma Consumer 
Threat Alert di McAfee, i 
consumatori possono ricevere 
un'allerta immediata sulle 
minacce on-line più recenti e 
pericolose con informazioni di 
intelligence fornite da McAfee 
Labs direttamente nella casella 
email. 

Per iscriversi al Consumer 
Threat Alert basta digitare 
questo indirizzo http:// 
resources.mcafee.com/content/ 
ConsumerThreatAlerts. 








UN WDRM 
ESTREM AM ENTE 
PROLIFICO 






Sono in aumento 
le infezioni dovute 
a Koobface, un 
worm estremamente 
prolifico capace di 
infettare i siti di social 
networking. Questo 
programma nocivo 
colpisce siti internet 
come Facebook o 
Twitter e riesce a 
usarli come proxy 
per i suoi server di 
comando e controllo. 
Durante le ultime 2 
settimane, il team di 
ricerca di Kaspersky 
Lab ha osservato che 
i server di Comando 
& Controllo di 



O Consumer Threat Alerts 
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Koobface sono stati 
chiusi o ripuliti, con 
una media di tre volte 
al giorno. Il numero 
è costantemente 
diminuito da 107 (25 
febbraio) al livello più 
basso 71 (8 marzo). 
In seguito, in sole 
48 ore, il numero è 
cresciuto da 71 a 
142, raddoppiando 
precisamente il 
numero totale dei 
server che tutti i 
computer infettati da 
Koobface utilizzano 
per ottenere 
comandi remoti e 
aggiornamenti. 
Le infrastrutture 
di comando e 
controllo Koobface 
possono essere 
studiate osservando 
l'evoluzione della 
posizione geografica 
degli indirizzi 
IP utilizzati per 
comunicare con i 
computer infetti. 
L'utilizzo di server di 
Comando & Controllo 
è in aumento 
soprattutto negli 
Stati Uniti, con una 
crescita dal 48% al 
52%. Attualmente, più 
della metà dei server 



C & C Koobface sono 
ospitati negli Stati 
Uniti, percentuali che 
superano quelle di 
qualsiasi altro paese 
nel mondo. 

Ecco alcuni 
suggerimenti agli 
utenti per difendersi 
da questo tipo di 
minacce: 

• State attenti ai 
link nei messaggi 
sospetti, anche se 

il mittente è uno dei 
vostri fidati amici su 
Facebook. 

• Utilizzate un 
browser aggiornato: 
Firefox 3.x, Internet 
Explorer 8, Google 
Chrome, Opera 10, 
ecc 

• Divulgate il meno 
possibile informazioni 
personali. Non date 

il vostro indirizzo 
di casa, numero 
di telefono o altre 
informazioni private. 

• Mantenete il vostro 
software antivirus 
aggiornato per 
evitare che le nuove 
versioni di malware 
possano attaccare il 
computer. 
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DALLA RUSSIA 
CON SPAM 



Secondo una ricerca svolta dalla Russian 
Association of Electronic Communications 
(RAEC - http://www.raec.ru). 
Ai russi spetta la palma di spammer più 
prolifici. Infatti nella speciale classifica 
degli spammer sette delle prime dieci 
posizioni sono occupate da russi, inoltre, 
il più grande spammer al mondo è proprio 
un russo. 

Vive a Mosca e controlla la più grande 
rete di vendita di prodotti farmaceutici, 
attraverso spam, su Internet \ 
Lo spammer russo ha guadagnato 
qualcosa come 3,74 miliardi di rubli (127 
milioni di dollari) nel 2009. Un quinto di 
tutte la pubblicità russa Internet è spam. 
L'altro aspetto curioso è che USA e 
Russia, divisi per anni dalla guerra fredda, 
sembrano collaborare strettamente 
(quanto inconsapevolmente) a questo 
genere di attività. 

Infatti i server residenti degli USA sonò 
responsabili del 17,3 per cento di tutto 

10 spam mondiale (che quindi transita 
attraverso di essi). 

11 16,4 per cento dello spam ru 
proviene da server residenti negii St 
Uniti. Circa I' 83 per cento dei messag^. 
di spam vengono inviati da "botnet", gli 
eserciti di computer zombie "reclutati" 
un po' ovunque all'insaputa degli ignari 

- propijè^ri^x ^-/^</- 

Infine si rileva come gli annunci relativi 
a Viagra sono responsabili del 73,7 per 
cento dello spam in tutto il mondo. 
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NDN VIDLAND 

IL DIRITTD D'AUTDRE 

Nella delicata materia del Peer to Peer e dei casi di violazione di 
copyright o altro genere di proprietà intellettuale, ha fatto molto 
clamore la recente sentenza di un tribunale di Barcellona che 
ha assolto un sito di peer to peer citato per un presunto reato 
contro i diritti d'autore. 

Il dispositivo della sentenza ha stabilito che offrire link che 
rimandano ad altri contenuti - anche coperti da copyright, come 
succede nei P2P - non è illegale. 

In senso lato la sentenza riconosce che il "sistema internet" si 
basa proprio sui link, come accade, ad esempio, per i principali 
motori di ricerca, quindi chi ospita fa solo da "vettore" non h 
responsabilità oggettiva. La responsabilità ricade, semmai, s 
siti a cui i link riportano. 

Secondo il giudice inoltre le reti P2P, in quanto reti di 
trasmissione di dati tra privati, non feriscono, in termini generali, 
alcun diritto protetto dalla legge sulla proprietà intelletti " 
Naturalmente questa sentenza può colmare, a livello 
giurisprudenziale, solo la normativa spagnola. Qui siamo fer 
al decreto Urbani convertito in legge nel 2004. Si tratta di ui 
testo molto controverso che all'epoca aveva suscitato molte 
resistenze, specie da parte dei Verdi col loro capogruppi 
Fiorello Cortina.. Bk 
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APPROFONDIMENTI 
SII OPENBSD 

Ciao leggo la vostra rivista da 
orma, più di un anno e |g 

molto interessante in quanto 
* ♦!?-?* 2 anni informatica da 
autod.datta (programmazione 
nll S ^ r o e f,H !^™«?oa in 



da parecchi mesi - JUntU9 - 10 
Volevo fare i miei complimenti 

Stili e n' St 1 PÌena di '"formazioni 

utili e articoli spiegati 

dettagliatamente. 
Interessante l'articolo su 
OpenBSD lo proverò presto 
su VMware. Proprio ora sto 

auS n H 0, ' Ìmmagineisoe ^evo 
KJ f. domand a al riguardo 
prima d. provare il sistema: 

WEP9 P H 8 rf! b « e connette ™ a reti 
WEP? Ho letto sull'articolo (forse 
e un mio errore) che ci si può 
connettere solo a reti WPA/WPA2 
mi sbaglio? «/wr/^, 

2) E' possibile installare strumenti- 
ci, analisi/test e studio delle reti 
quali ad esempio Wireshark 

I Avnf;" 9 ' " map ° air crac'k-ng? 

3) A vostro parere è meglio 
OpenBSD o backtrack 4" 



Andiamo con ordine: 



connettersi a reti WEP con 

OpenBSD. 

Non abbiamo speso molte 

parole sulla rivista perchè 

ntiniemo quest'ultimo 

e r C C d a i°e d d .f CÌSamenteÌnSÌCUro 

esemnÌ CaSO ' rÌferendocia 9" 
esempi proposti nell'articolo 
(ipotizzando quindi di 
voler utilizzare DHCP per 



l'autenticazione WEP è un r"- 



andrai ad inserire nel 
"le hostname.interfaccia 



(nell'articolo: urtwO): 

dhcp nwid '<SSID>' nwkey 
' <chiave WEP> ' 

Con ifconfig il discorso non 
cambia: 

'SS!/ II ? ERPACCIA> »*<» 

^SSID^ nwkey , <ch . ave 



anche precompilati. 
Ti consiglio inoltre di dai 
occhio anche alle bsd-a.\„ 
SS- . pa ,e cnetto Per arch. 
n ? k#^ U,: ft P :// "P-spline.de/ 

i386/^H nBS * D/4 - 6/packa 9 e s/ 
i386/bsd-airtools-0.2p3.tgz 
Per installarle, come visto 

add„K C w ' Unsem P ,ice Pk9 
add -v bsd-airtools-0.2p3.tgz. 

3) Non è possibile fare un 
paragone tra questi 2 sistemi 
operativi, in primo luogo 
perche nascono con target 
decisamente diversi. 
Il primo è un OS BSD destinato 
prevalentemente ad utilizzi 
server e/o comunque in 
contesti dove sia richiesta 
.^ ata affidabilità e sicurezza. 
Il secondo è una distro Linux 
basata su Ubuntu che racco? 
un insieme di applicativi più 
o meno utili per l'analisi ( 
Propria infrastruttura. 
Tutto quindi dipende da quel 
che devi fare. 



GARANZIA SÌ, 
GARANZIA IVO 

of r r j SP ° Sta data P er P ro b'emi di 

garanzia e sbagliata. Per favore 
correggetela. 

s L enza r E a Va,e comu "W* 2 anni 
senza l.m.taz.one alcuna. Nessuna 

donoT 23 Se " 9Uasto è recla ^ato 
dopo ,1 mese o dopo 23 mesi, lo 
dice la legge che è al di soorà di 
eventuali contratti d i garanzia che 
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al più dovrebbero aumentare i 
diritti mai ridurli. 
Se HP o altri non vogliono 
nspetarla basta rivolgersi al 
Giud.ce di Pace (anche senza 
av /° cat °> caricate il modulo 
andito 5 e ne trova a volontà) e 
S d ' P ers °na negli uffici del 
^ ,Ced ' Pace - Costa 32 euro 
circa (grazie alla nuova "tassa" 

introdotta d al governo Berlusconi 
da ? o e " na '° 2010). Ripeto non 
avete b.sogno di uno stuolo di 

azi?n C H a 2 Ì ' Vedreteche,eara ndi 
aziende verranno all' udienza con 

^soluzione già pronta e se sono 
molti a seguire questa strada 
camberanno subito politica (gli 
costerà meno). y 

Giuseppe Grimaldi 

Ringraziamo Giuseppe del 
contributo. In effetti la 
normativa europea è piuttosto 
esplicita nell'indicare i 24 mesi 

cas^ 3?,' V dUbbì ' Come "*' 
nrohif e, - ,ettore ohe ha avuto 
problemi con un computer HP 
"guardano il comportamento ' 
delle aziende, che spesso 
cercano di aggirare questa 
normativa. 

Comunque l'idea che ci hai 
suggerito (e che abbiamo 



dispiace. La terremo senz'altro 
m considerazione senza per 
questo volere portare via il 
lavoro a "Mi manda Rai Tre» . 
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PROPRIETÀ 
0IA4TTIT0 APERTO 

Non mi garba la vostri 
Giorgio D. nel nur 
rivista, che seguo 
da anni, senza perdere un 
numero però non sempre sono 
d accordo. Il mercato esiste 
perche dà lavoro a persone. Se 
poi s. e bravi programmatori si 
fanno g.ochi o programmi che 

qrand°if l n C n C n SO ' OPPUresifa " no 
?,lfl ??■ Un g,oco P u ò non 
valere ,60 euro che ci impongono 
ma qualcuno ci ha lavorato e 
se non li vale è l'utente che 

. S broaTf d f ° ne,aVOCe ' ,e 99 end o 
1 P'og, i forum, nei social, ne 
sancisce ìi e.,^., .. . . 



B;os3oDu k e I piutto7todi'a,tri 
giochi s.m.l. sia dovuta al caso 
Ci sono programmi buoni e meno 

man rapporto qualità-prezz^e 
sancisce .1 migliore o peggiore 



e. uu vendes sero a 5 euro ci 
sarebbe spazio per Linux? lo 
no provato tutto: ottimo Firefox 

Piuttosto che Explorer, più a mio 
agio con Open Office che con 
Office, ma Windows ha le sue 
rag.oni se è un passo avanti a 

slmili e H °;. UttÌ 6 dUe SU macchi "e 
simili e... c'è sempre una ragione 
Diamo a Bill quel che è di Bill 
che e stato uno dei più grandi 
geni dei nostri giorni, lo vorrei 

spezzare una lancia a favore del 
mercato. Impariamo a pagare la 

quah a di certi prodotti" a'dTe no 
a facili acquisti di prodotti copia 
cinesi, dalle batterie, ai vestiti 
fino a. macchinari. Impariamo 



benefattore, ma io, dove ne ho 

lm£ SS ! b "! tà Cerco di acquisire 
" m.o giusto riconoscimento 
economico, perché non si *.»« , 



il mondo ci sta rendendo sempre 
Peggior, e siamo disposti a fare 
debiti per avere una scomoda 
Ferrar., piuttosto che comperare 

con le nostre risorse una comoda 
monovolume. Accontentiamoci di 

f q arcL < L eC,S ? rVeesev °9''ono 
farci avere qualcosa in più 

abbasseranno i prezzi... io non 

rubo! lo sono orgoglioso di dire 

volte per lavoro mi sarebbe utile 
e i c t ° sla,t 1 r 1 i Prodotti costosi, ma 
tuttofo che installo ha regolare 

P.S. 

Sarebbe possibile vedere su 
Journal o Magazine un buon 
articolo su Wi-Fi e WiMax? Sto 
cercando di progettare un hot 
spot privato (se può essere 
considerato tale) e non ho 
ancora ben chiaro quali siano 
gii accessori veramente utili 
le distanze copribili in base ài 
guadagno dell'antenna, i permessi ! 
necessari, se servono. Grazie 



Enrico P. 

Jr« r ° u"r ico ' sulla Prima pari 
non abbiamo nulla da dire 
nel senso che ognuno ha un. 

«UHM?""! 0116 6 noi abbiamo 
pubblicato molto volentieri 

S£ir , iL p ? r untare il 



concorrenza, dove si pagano le 
tasse, i contributi, le condoni 
di lavoro sono garantite, dove 
chi progetta è premiato e non 

derubato per la contraffazione. 
Se poi c'è chi delle sue idee ne 

vuol far dono, ben venga conie 



«:*: _ 



n, questo un po' 
il tema su cui vorremmo che 
s. sviluppasse la discussione, 
magari, potrebbe essere 

forum 883 "* 6 aPrire U " to P ic su « 
Per quanto riguarda 
l'organizzazione di una rete 




JU'Sff bb , ,am .° in P r °9»-amma 
un articolo piuttosto tecnico 
che potrebbe fare ai ^=o- *. 



in cu, ci soffermiamo anche 



onde Wi-Fi. Segui i prossimi * 
numeri e vedrai che troverai 
quello fa al caso tuo. 

IRC 

Salve. Qnno NUov 



«»..po orma, m, appassiono al pc 
fp" Pa ? CO,armodo al software . 

tmun . anm ' a Vostra rivi sta e la 
trovo sempre più interessante in 

quanto centra esattamente quelli 
che sono, punti cardine senza 
dilungare, in spiegazioni che 

c P ot e p b ic b a e t r o 0rendereÌ,COnCett °P- 

com n fp t t r r ÌV h ÌStaèquÌndimo,t o 
completa e ha spiegazioni che 

abbracciano dai newbie ai veri 

professionisti. 

Tuttavia vi contatto via mail per 

porgervi una domanda: Sarebbe 

Possibile inserire all'interno 

ln«iV 0Stra rÌVÌSta U " P ,CC OlO 

inserto su un mondo che magari 
a volte viene visto come "lame" 

e |ù V roh n p ment " ma in rea,ta ha ben 
più roba... ossia IRC. 



....... ^,„ u u. quella che possiamo 

chiamare rete di IRC esistono 
aspetti che molte volte restano 
ali oscuro... e forse a volte 
venaono snttr.w^i..i_i: ^ , 



"*' " oiar e come IRC contenaa 

molta roba che potrebbe forse 
ampliare un po' le comuni- 
conoscenze... 

Parlo di Script, Server e poi IRCd 
°P er ° h ? no, quei famosi virus 
RX che hanno permesso a molte 
persone di utilizzare il DDoS 
La mia è solo un'idea che porto 
alla vostra attenzione. 

No3X 

Potrebbe essere un'idea, 
magari la postiamo anche 
sul forum per capire cosa ne 
pensano gli altri lettori 



II^Hs^ 
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SESSI"»* S2» «««**. * 

1. osn^ranH^ 



scrivo e ho l'HJ n.1!! 

C'è da dicembre una grossa 

confusione tra noi professionisti 

che le Pa del penodo giurassico 
devono ricevere le documentazioni 
tecniche via web, ovviamente 
contrassegnate con la firma 
digitale; Il nostro collegio nazionale 

cont 9 r^r ri ? Ghasti P u,ato "n 



h«#*-T i — ■ "Rossana aruba kev 
(letteralmente per lavorare) che si 
P fl r ° P n 0ne c ° me un Prodotto innovativo 
ali mone" fatto a mio parere, 

ap P p P u nto PerÌdÌnOSaUrÌÌnfomiatici ' 
Il CIMIPA 

AS%S nÌPa - 90V - Ìt/SÌte/Ìt - ,T/ 

AO/Firma_digitale/ 

Certificatori_accreditati/Elenco 

cert.ftcatorLdLfirma_digitale/ ~~ 
CertificatorLattivi/ 

E' un ente governativo a sua volta 

certificante che offre questo tipo di 

rnr^ EC ' fÌrmad ^ ta,e ' sr "Scard 
e non solo ragazzi! E' anche l'Ente 
ispettivo di altre aziende certificanti 
che a loro volta offrono gli stessi 

5cSK es r pio societa come 

eccetera ert ' S09eUruba 

Adesso faccio due conti- 
li CNG (consiglio nazionale dei 
geometri) fa il contratto con una 
società, questa società fornirà 
materiale proprietario? blindato? (Si) 
E le pubbliche amministrazioni in fase 
di ricezione dovranno riconoscere 
per forza quella impronta "aziendale" 



.,,, . . ». generando 

I ambiente di autenticazione" a 
monte, et voila. Spedizione via web 
Ma non finisce qui III Queste azfendr 
stanno blindando il software che 
gestisce i driver della smart card 
chiamandoli "driver certificati" 
Addirittura i driver dei lettori stessi 

Quindi se ,1 collegio mi vincola mi 
incazzo! alla faccia della libertà 
D altronde il catasto AgdT ha 
fatto così, per trasmettere qli 

arrotaci-.™ i: a 



--- — »«.,,«,„„, per esempio, mi è 

firm. h 3 f ì at ° rego,are certificato di 
firma digitale, questo mi permette di 

rn°KuX^ nque mi trovo (MA SOLO 
CON LORO), NON con altre Pa ma 
come? Dal software "firma e verTffca" 
se entri in gestione certificati vidi 

ton ?£S°- T'' dia, °9are/loggarti 
con I AgdT/sister, ma anche con le 
dogane e l'agenzia delle entrate"! 
Non m. ha detto niente nessuno"" 
Nemmeno il manuale, e nel contratto 
anzi qualcuno ha detto "...non lo 
tare se no ti revocano tutto, addio 
accatastamenti" 

? 1 Jl ned, ' t ! ?E ' ora di chiamare la 

Sogeiperdirglichedevedireal 
CNIPA che voglio usare la loro 

aUTPnti>n-7i'^»-»~ . 

do 

p a , -wiiiuiib.'o aura 

Ho letto poi secondo la legge (*) che 

non e consentito utilizzare una' coppia 

d. chiavi per funzioni diverse da „ST 



spratichito, c'è l'ha fatta via web 
ma aspetterà ancora. Forse sonò 

io Hfurbetto, oppure mi stanno 
confondendo veramente, credete..., 

non s m, ha dato una risposta coerente 
Vi prego hacker aiutate gli uomini 

ben, quelli che vogliono avere la 
liberta di scelta. 

In bocca al lupo! 
Lorenzo D. M. 



fjS? ma " Un po ' Particolare ma 
• abbiamo pubblicata perché offre 
diversi spunti. Uno in P p art lco.a7e e 
ci interessa, quello della 
libertà a rioni: -* . .. 



Effettivamente 

^ soluzioni che spesso vengono 

Am^ en0 ?- SOn0,e P , ' ù,0 9^e 
A monte, solitamente, c'è una 

scarsa dose di conoscenza 

Tn,? he anno fa Ministero" 
dell'Istruzione, si parla del 19 
giugno 2003, ha firmato il un 

grazie al quale accordo tutte le 
scuole italiane -oltre 10.700 tra 



parti presenti nell'elenco di C A ? 

fma^H ', ett0re (open > con "na 

lottai ( ° Pen) '° posso com P'"are 
sotto casa per pochi euro, mi 

scarico un programma (open) che 



!^^=sr 



ui unii 

Non la ficchiamo nel lettore' 

L autenticazione non è unica per tutte 

Sono sempre io o sono sempre un 

Adesso il caos è totale, non 
fa distinzione, lettore, token 
asimmetrica, chiave, firma ' 



I dinosauri ; 



Stai-Office. 

? a ~ m f T "tte le pubbliche 
amministrazioni percorrono la via 



suite, Open Office, totalmente 
open source e gratuita, e con la 
.1!"f!*?* nco,a '* dalle costose 



accordo per un software che non 
e open source e la cui licenza è 
saldamente nelle mani di Sun? 

Dalla narlallo ~~n_ . '■ 



Cradiamo che ci sia spesso molta 

edè ro d!ST ÌOne - mìStaafe *erta 

funaio • 6 f aPÌre dOVe *"'*<* 
i una e inizia l'altra. 

Ci sono poi dei misteri assoluti. 
Ad esempio, in ambito musica 



Qualcuno più furbetto, un po' 



ti e non l'ottimo 
Ogg Vorbis, open source e 
qualitativamente superiore... 
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I Massimiliano Rinaldi 
redazion ^ 







G DI SISTEMA IN 



i 




IT 



Nel Mac 



e TUTTO A 



std? Per 



CAPRLD BAST 



ANAL ZZARE 



LOG D SSTEM 



DELL'AMBIENT 



Unix. 



*rn 



n computer Mac OS 
X effettua diversi log 
sull'attività in corso nel 
sistema operativo. Il 
log di sistema (o re~ : 
stro di sistema) mostra più event 
che coinvolgono la condivision 
qualsiasi modo attraverso la rete, 
come ad esempio web o server FTP, 
e la maggior parte delle manifesta- 
zioni che comportano modifiche sul 
sistema operativo. I log sono spesso 
trascurati e sono consultati solo 
in caso di un errore del sistema, 
violazione della protezione, o altro 
evento catastrofico. Proprio per 
questo motivo sarebbe molto meglio 
familiarizzare con le indicazioni 



riportate dai log di sistema quando 
le cose vanno bene. 
Infatti, se si ha una buona idea di 
ciò che avviene in circostanze nor- 
mali, è facile individuare quando le 
cose che si stanno verificando nel 
sistema presentano delle anomalie 
più o meno vistose. I file di log sono 
semplici file di testo, e ci sono di- 
versi modi per interagire con essi. 



SYSLDG 

Syslog è l'evento Logger di siste- 
ma scritto originariamente da Eric 
Allman. Syslog è un componente 
standard di Unix e altri sistemi Unix. 



tltieo 
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^ì per ogni appli- 
cazione l'autore si debba preoccu- 
e di dove, come, quando debba 
ere effettuato l'accesso, e di 
sgravare gli utenti dalla preoccupa- 
zione di trovare ogni singolo file di 
log dei programmi, syslog offre agli 
sviluppatori una semplice routine di 
registrazione per accedere ai loro 
>rogrammi in forma di openlog e 
iltre librerie. Syslog è il demc M/% 
i registrazione che viene lan 
all'avvio del sistema dal punto di 
avvio Sistema/ Libreria/Startupl- 
tems /SystemLog. Il file /etc/syslog. 
conf viene letto dal demone syslog 
come l'avvio, e configura come i 
processi del demone ricevano e 
inoltrino i messaggi. Vi è anche un 
comando chiamato logger che può 
ere usato interattivamente o da 
pt di shell per creare voci nel 

c+rr» Hi cic+oma fc\/ctom \nrt\ 



I programmi che sfruttano syslog 
per l'accesso, e questo include il 
kernel Mach, scrivono i loro mes- 
saggi a un file speciale, che solo il 
demone syslog legge. Syslog ana- 
lizza i messaggi in arrivo in base al 
suo file di configurazione e realizza 
una o più di queste quattro azioni: 

* Inoltra il messaggio a un demone 
syslog in esecuzione su un host 
differenti. 

* Aggiunge il m<_ 
specificato. 

* Invia il messag 

* Invia il messaggio allo schermo di 
utenti definiti se sono collegati. 



ssaggi vengono gestiti in base a 
3 criteri specifici chiamati livelli 
trutture. I livelli si riferiscono alla 
p ravità di un evento, e la struttura fi 
riferimento agli specifici programmi 



in esecuzione. 



CONFI 
SYSLDG PER 
SEPARARE I 
MESSAGGI 

La directory /var/log è dove la 
maggior parte dei file di log sono 
conservati in un sistema Mac OS X. 



Syslog è configurato di default per 
la maggior parte dei messaggi di log 
nel file /var/log/ system.log. Sepa- 
rati i file di log, vengono creati, per 
impostazione predefinita per l'auto- 
rizzazione di azioni (in genere dati 
di accesso), messaggi stampante 
Ipr, mail, ftp, e errori Netlnfo. Questo 



di gravita e scrivere questi messaggi 
nel file /var/log/sudo.log. 
Syslog non crea un file da solo, così 
occorre creare il file di log. Inoltre, è 
possibile impostare correttamente 
le autorizzazioni per il file e, infi- 
ne, riavviare syslog per forzarlo a 
rileggere il suo file di configurazione. 



sudo touch /var/log/ sudo, 
.chmoAfet) /va*21og/- 



m/syslog.pid^ 



è un ragionevole insieme di valori Basta aprire il Ter 

predefiniti. Tuttavia, ai fini della si- seguenti coman 

durezza del vostro sistema, e a titolo 

i esempio, è possibile apportare 

ìodifiche alla configurazione per 
isolare i messaggi da sudo e ssh. 
Tutte le linee nel file /etc/syslog. 
conf assumono la forma di azione vai , 

selector <Tab>. 

È fondamentale che negli esempi 

che seguono e, in ogni modifica S E P A F 

apportata ai file, che si utilizzi una MESSAC 

Tabulazione tra gli oggetti su una li- 

f, o potrebbero verificarsi risultati Se si consente il e 
emente indesiderati. Prima di ap- proprio sistema vi< 
tare modifiche al file syslog. conf, bile accedere a qu 
è bene fare una copia di backup del in modo da poterle 
file originale, per ogni evenienza. fare questo bisogr 

Per il backup del file, aprire il Termi- file di configurazio 
naie e digitare il seguente comando: file di configurazio 




sudo cp / etc / syslog. conf - 
/ etc / syslog. orig. conf . 





ido e configurato per i messaggi Ime; 
di log ad un impianto chiamato lo- infe 
cal2. E così accade che sudo sia il chii 
solo programma installato di default A qi 
in un sistema che utilizza l'impianto con 
local2. Questo rende abbastanza agg 
banale la questione di isolare i mes- 
saggi generati da sudo. Infatti basta loc 



SEPARARE I 
MESSAGGI SSH 

Se si consente il collegamento al 
proprio sistema via ssh, è consiglia- 
bile accedere a queste connessioni 
in modo da poterle monitorare. Per 
fare questo bisogna modificare sia i 
file di configurazione di sshd e che i 
file di configurazione di syslog. 
Prima aprire il file di configurazione 
del server SSH che si trova in /etc/ 
sshd_config con sudo e con il vostro 
editor preferito e cambiare il valor 
di SysIogFacility da AUTH a L( 
CAL7, assicurarsi di aver rimoss 
"rattere # fin dall'inizio della linei 

jindi rimuovere il carattere # dalla 
linea LogLevel immediatamente 
inferiore. Di seguito salvare il file 
chiuderlo. 

A questo punto, aprire /etc/syslo< 
conf nel vostro editor preferito e 



# 



aggiungere il seguente testo nel 



gere il seguente testo nel file: 



local2 
sudo . log 



/var/log/ 



In questo esempio, abbiamo detto a 
syslog di selezionare tutti i messag- 
gi dalla struttura local2 a tutti i livelli 



n questo esempio, si e "ordinato 
a syslog di selezionare tutti i mes- 
saggi dalla struttura local7 per tutti 
i livelli di gravità e scrivere questi 
messaggi nel file /var/log/sshd.log. 
Ancora una volta, syslog non può 
creare file nella directory /var/log 
per voi, così è possibile creare il 
file di log con autorizzazioni, quindi 
riavviare syslog per costringerlo a 
rileggere il file di configurazion ^ F 
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Handling crash 



Se si desidera controllare una speci- 
fica stringa di testo nel proprio file di 
log, è possibile utilizzare il comando 
cat in combinato disposto con grep. 
Per esempio, per cercare la stringa 
craigz nel file di log del sistema, 
digitare il seguente comando: 

cat/var/log/system.log -i 
I grep craigz . 



<S> 



LfcUltf 



fare ciò basta aprire il Terminale e lizzazione e di ricerca dei file di log 

digitare il seguente commando: (o file di registro). 

Si può utilizzare il comando di tail 
sudo touch /var/log/sshd. log per vedere la fine di un file di regi- 



sudo touch /var/log/sshd. log 

sudo chmod 640 /var/log/i 

sshd.log 

sudo kill -HUP Vbin/cat 

/-■var/run/syslog.pid x 



A questo punto non resta che esa- non si fern 

minare i file di log attraverso Termi- EOF (end-* 

naie o console. raggiunto, 

Ora è necessario esaminare questi to supplen 

file per vedere che tipo di eventi occorre ap 

si verificano sul computer e assi- log digitan 

curarsi che tutto stia andando nel log/systenr 

modo che ci si aspetta. Le opzioni var/log/ sy 

sono diverse. È possibile sfogliare precedenti 
i file di log in Terminale o utilizzare 

la console per visualizzare i mes- Si può utili 



stro digitando tail /var/log/ system, 
log. Tail può essere utilizzato per 
monitorare continuamente un file 
sfruttando l'opzione -f. Tail, quan- 
do viene invocato con l'opzione -f, 
non si ferma quando il marcatore 
EOF (end-of-file, fine del file) è 
raggiunto, ma attende un contribu- 
to supplementare. A questo punto 
occorre aprire e guardare un file di 
log digitando il comando tail-f /var/ 
log/system. log. Quindi sostituire / 
var/log/ system.log con il file di log 
precedente. 



la console per visualizzare i mes- 
gi di log. Per il debug di nuovi 
odrvizi, e di altri eventi di sistema, 
esaminare il file di log in tempo reale 
può essere estremamente utile. Una 
ratteristica di Leopard (e Snow) 
)he Apple System Profiler include 
anche un visualizzatore di file di log. 
Questo è utile se si ha bisogno di 
fornire copie dei file di log per i vari 
tipi di supporto tecnico. 



UTILIZZARE IL 

TERMINALE PER 

VISUALIZZARE I 

FILE LDG 



I comandi tail, less, cat, e gre^ ounu 
molto utili quando si tratta di visua- 



Si può utilizzare il comando less per 
scorrere un file di log pagina per 
pagina. È possibile ricercare all'in- 
terno del file che si sta leggendo 
digitando il carattere / seguito dalla 
vostra stringa di ricerca (per esem- 
pio, /craigz). La prima occorrenza 
del vostro termine di ricerca verrà 
evidenziata. È inoltre possibile salta- 
re alla successiva occorrenza digi- 
tando N sulla tastiera e continuare 
a digitare N per spostarsi attraverso 
gli elementi trovati. È anche possi- 
bile spostare, riga per riga, verso il 
basso, il file utilizzando il tasto Invio 
o la freccia verso il basso. La freccia 
verso l'alto può essere utilizzata an- 
che per scorrere verso l'alto riga per 
riga. Per passare attraverso il docu- 
mento pagina per pagina, utilizzare 
la barra spaziatrice. 



H 0™ 



UTILIZZARE 

CDNSDLE PER 

I FILE DI LDG 



L'applicazione console si trova 
nella cartella Utility all'interno della 
cartella Applicazioni. Il lato sinistro 
dell'applicazione visualizza due ca- 
tegorie principali (INTERROGAZIONI 
DATABASE RESOCONTI e RESO- 
CONTI), all'interno di RESOCONTI 
trovano spazio i file console. app e 
system.log, nonché tre cartelle in 
cui si trovano i log, /Library/Logs, 
~ Library/log e /var/log. Ciascuna 
di queste cartelle ha triangoli che 
possono essere ciccati per mostrare 
la visuale estesa ed evidenziare i 
singoli file di log all'interno. 
Una volta che un file viene sele- 
zionato a sinistra, il suo contenuto 
viene mostrato nel lato destro della 
finestra. La casella di ricerca in 
alto a destra è classificata come 
Filtro. È possibile digitare del testo 
in questa finestra, e solo le linee 
che contengono la stringa di testo 
vengono evidenziate nel contenuto 
finestra. Facendo clic sull'icona di 
Cancella, viene cancellata la fine- 
stra. Utilizzando il pulsante Ricarica 
si aggiorna la finestra di contenuto, 
e il pulsante Inserisci Contrassegno 
inserisce una riga con una serie di 
trattini per evidenziarla. Il pulsante 
Inserisci Contrassegno è molto utile 
se si sta osservando un file per un 
evento specifico in quanto è possi- 
bile inserirlo per marcare la riga e 
renderla facilmente individuabile. 
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ara capitato a molti 
1 di vedersi accendere 
k una spia sul cruscotto 
dell'auto per qualche 
allarme che ci ha 
subito preoccupato. Obbligatorio, 
dopo aver letto sul manuale 
che quella "chiave inglese" 
indica problemi di elettronica, 
visitare un'officina autorizzata 
o un elettrauto, che tramite un 
computer portatile può collegarsi 
alla centralina della nostra auto 
e capire se l'allarme è reale o 
semplicemente va fatto qualche 
controllo. 

Non vogliamo promuovere 
con questo articolo il fai-da-te 
riguardo problemi che possono 
facilmente impattare con la 
sicurezza del nostro mezzo, 
quanto piuttosto cercare 
di capire quali informazioni 
possono essere scambiate tra 
le diverse centraline che ormai 
sono sparse nell'auto (tra airbag, 
motore, allarme..). Infatti non 
sarebbe per lo meno rassicurante 
sapere subito di che cosa si 
tratta, collegandoci anche noi al 
computer di bordo per sapere 
che errore è stato riscontrato? 
E in fondo sarebbe anche più 
divertente, se pensiamo che il 



L'adat 
ELM3 
CAN OBD 2 
*> tra quelli 
supportati da 
OBDScope 




Come 

COEslTRCLLARE 
LA CENI IALINA 
DEL M 



J=4mWÌi1 



DA 
TEL 



RDPRID 



tutto si può fare usando proprio 
il nostro telefonino con Symbian 
grazie OBDScope, un software 
che costa 9,95. 

CDSA DCCDRRE 

Oltre al programma, che può 
essere acquistato online 
direttamente dal sito dell'autore 
(obdscope.urli.net) e a un 
telefonino con Symbian versione 



3a o 5a (vedi Box #1), occorre 
un adattatore bluetooth che 
possa connettersi alla centralina 
dell'auto. 

Solitamente infatti la centralina 
è posizionata in posti difficili 
da raggiungere e viene offerto 
un connettore in una posizione 
più facilmente accessibile cui 
collegare il terminale per la 
diagnostica. 

I connettori dei costruttori di auto 
sono stati uniformati a livello 
mondiale nel corso degli anni e 
si fa genericamente riferimento 
al protocollo OBD (On-Board 
Diagnostics). Per l'Europa lo 
standard di riferimento per le 
auto prodotte dal 2003 si chiama 
EOBD (OBD II per Europa). 
Tipicamente saranno supportati 
dal programma i modelli a 
benzina introdotti sul mercato dal 
2001 e quelli diesel introdotti dal 



# 
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L'elenco del telefonini supportati ufficialmente 
da OBDScope è abbastanza ampio, tuttavia se il 
nostro modello non compare verifichiamo che abbia 
comunque Symbian ver. 3a o 5a e potremo usarlo 
comunque. 

(Nokia 3250, 5500 Sport, 5700, 6120, 6121, 6290, 6110 
Navigator, E51 , E60, E61 , E61 i, E62, E63, E65, E66, E70, 
E71, E90, N73, N75, N76, N77, N80, N81, N81 8GB, N82, 
N91, N93, N93i, N95, N95 8GB, E52, E55, E71x, E72, E75, 
N78, N79, N85, N86 8MP, N96, N97, N97 Mini, 5230, 5320 
XpressMusic, 5530 XpressM usic, 5630 XpressMusic, 5730 
XpressMusic, 5800 XpressMusic, 6210 Navigator, 6220 
Classic, 6650, 671 Navigator, 6720 Classic, 6730 Classic, 
# 6760 Slide, 6790 Slide, 6790 Surge, X6 

Samsung SGH-Ì400, SGH-Ì450, SGH-Ì520, SGH-Ì550, SGH- 
Ì560, SGH-G810, LG KT615 KT610, KS10, Ì8910 
Sony-Ericsson Satio 



<$> 
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® 



Elenco degli adattatori 
bluetooth OBD-II supportati 
da OBDScope 

ELM327 Bluetooth OBD-II 
Wireless Transceiver Dongle 
OBDKey Bluetooth 
DIAMEX DX70 Bluetooth 
qualunque interfaccia Bluetooth 
OBD-II che ha a bordo un chip 
compatibile con ELM 



Per quanto riguarda l'adattatore 
OBD II, OBDScope ne supporta 
diversi (vedi Box #2) e anch'essi 
possono essere acquistati online 
con prezzi a partire da 89 euro. 
Considerando che un kit portatile 
di diagnostica professionale ha 
un prezzo indicativo di 200 euro, 
è evidente che oltre ad avere 
una soluzione pratica perché 
praticamente sempre disponibile 
si spende praticamente la metà, 
tra adattatore e software. 



IL PROGRAMMA 

OBDScope è gratuito per 
sette giorni, dopodiché andrà 
acquistata la regolare licenza. 
L'installazione è davvero 
semplice: si scarica dal sito il 
pacchetto autoinstallante e si 
lancia il setup. 

Supponiamo ora di avere tutto 
l'occorrente e di aver individuato 
dove connettere l'adattatore in 
auto, accendiamo l'interfaccia e 
assicuriamoci che il telefonino 
abbia attivo il bluetooth. 

Accendiamo il solo quadro 
comandi dell'auto per alimentare 
la centralina e lanciamo quindi 
il software sul telefonino. Da 
Options selezioniamo Connect e 



alla centralina per avviare lo 





scambio di informazioni. A 
questo punto verrà presentato 
il wizard delle connessioni via 
bluetooth (a meno che non sia 
stato memorizzato un precedente 
"pairing" tra i dispositivi) e una 
volta concluso il tutto vedremo 
visualizzato Connected sullo 
schermo. 



software alla 
centralina 
viene mostrato 
l'indicatore 
Connected e 
visualizzati a 
video tutti i 
dati disponibili 
nelle diverse 
■ scher 



Ora siamo pronti per lanciare le 
diagnostiche. Apriamo il menu 
principale e clicchiamo su 
Diagnose: partirà la raccolta di 
tutte le informazioni disponibili 
al programma in base al tipo 
di veicolo (e di centralina) cui 
siamo connessi. Una volta 
terminata questa fase avremo a 
disposizione quattro finestre per 
leggere i dati: 

Troubles, che raccoglie gli 
eventuali codici d'errore completi 
di descrizione che possono essere 
anche inviati via SMS 
FreezeFrame, che permette di 
visualizzare in dettaglio i dati relativi 
a un particolare codice d'errore 
Diagnosis, che visualizza diverse 
informazioni di diagnostica che 
possiamo anche salvare nella 
memoria del telefonino 
OBD Tests, che permette di 
effettuare un'ampia rosa di test 



■• [psT«TlT*Kl IMI ÌTOÌI«T*JÌTW lì 



solo i test che possono essere 
eseguiti). 

Tramite Gauges (Indicatori), 
possiamo visualizzare 
graficamente i dati anche in 



PI seconda del modello di a- 
può variare la collocazi 
connettore OBD; nei 
recenti è comunq 
trovarlo all'interr 



Quando viene 
riscontrato 
un errore, 
viene mostrata 
una breve 
descrizione 
del messaggio 
associato. 



tempo reale, cioè man mano che 
vengono elaborati dalla centralina 
ed analizzare i consumi, le 
prestazioni e varie informazioni 
che possono farci capire se il 
motore funziona correttamente. 



Engine Coolarrt Temperat Quando Sono 

disponibili dati di 
tipo telemetrico, 
- ?ì 7; m vengono abilitati i 
grafici in Gauges 




__ * n | che permettono di 
vedere visivamente 
il comportamento di 
"ti qualche parametro. 



Una volta raccolte tutte le 
informazioni, dei vari quadri, 
possono essere salvate in 
formato CSV per poterle 
analizzare su un foglio di calcolo. 



hell 
rmette di 
Ire davvero 
ìasso 
Jvello, ma 
chiaramente 
è indicato 

per 
utenti da 



# 



Tra gli aspetti più interessanti 
di OBDScope c'è la Shell che 
permette di inviare comandi 
di basso livello direttamente 
in protocollo OBD-II (il che 
permetterebbe in teoria di 
abilitare funzionalità disattive ad 
esempio, che il software non ci 
rende disponibili) e OBD Trace 
che permette di osservare tutto 
il traffico dati scambiato tra il 
software e la centralina. 
Con OBDSCope la nostra auto 
può finalmente parlarci e dirci 
come sta. 
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In questa figura sono messi 
a confronto il modello classico 
della Pila ISO/OSI ed il modello 
del TCP/IP. m 



La pila ISO/OSI è la base 
del funzionamento 
delle reti, Internet 
compreso. Capire il 
suo funzionamento e 
perché uno strumento lavora a 
livello due piuttosto che a livello 
tre è estremamente importante 
per capire i meccanismi dei 
protocolli di rete ed, a cascata, del 
funzionamento di Firewall e simili. 
Vediamo come funziona. 
Per natura confesso di essere 
estremamente curioso. 
Generalmente non mi accontento 
di conoscere l'effetto di un evento; 
sono talmente curioso da volerne a 
tutti i costi conoscere la causa. 
Per esempio, non mi accontento di 
sapere che i dati in rete (come in 
Internet) viaggiano su fibre ottiche, 



cavi in rame, micro-onde, tam-tam 
e simili ma voglio sapere anche 
perché, in che modo e seguendo 
quali meccanismi. In questo 
articolo voglio rendervi partecipi di 
che cosa ho scoperto; ma andiamo 
con ordine. 



IL MEZZO FISICD 

Il mezzo fisico è ovviamente ciò 
che possiamo toccare: il cavo in 
rame, la fibra ottica, l'antenna del 
sistema di trasmissione radio, 
ossia dei mezzi che vengono 
utilizzati per trasmettere nell'ordine 



un segnale elettrico, ottico ed 
elettromagnetico, per indicare solo 
i principali. 
Questi segnali devono essere 



. i 



# 



organizzati seguendo uno schema 
preciso che nel caso del cavo 
in rame può essere la tensione 
scelta per rappresentare i valori 
logici, l'ampiezza del segnale 
ottico (la frequenza luminosa) per 
le fibre ottiche e la frequenza in 
Mhz per le onde radio. In comune 
ci sarà la durata in microsecondi 
del segnale (clock), oppure la 
forma ed il sistema di innesto per 
il collegamento dei connettori tra 
loro. 

E qui si apre un ventaglio 
estremamente vasto di possibilità 
che spazia dai connettori coassiali 
thin e thick Ethernet per arrivare 
alla categoria 6 per i cavi di rete 
twistati, alle frequenze infrarosse 
o ultraviolette delle fibre ottiche 
che possono a loro volta essere 
multimodali o monomodali, e la 
frequenza in Mgz GSM/GPRS/ 
UMTS, WiFi, Bluetooth (banda ISM 
da 2,45 Ghz a 2,56 Ghz) e chi più 
ne ha più ne metta. 
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DATA LINK 

Adesso che abbiamo definito un 
mezzo trasmissivo occorre che i 
segnali in transito siano sempre 
coerenti. A che scopo avere una 
strada se i segnali che viaggiano a 
suo interno sono inaffidabili? Allora, 
sul mezzo fisico dobbiamo costruire 
un circuito o un meccanismo che 
sia in grado di gestire il traffico dei 
dati, fornendo opportuni algoritmi di 
correzione che intervengano in caso 
di necessità. 

Su questo livello occorre definire 
una trama (Frame), in grado di 
trasportare i dati e che abbia un 
inizio ed una coda che possano 
essere utilizzati per controllare la 
coerenza dei dati trasmessi. 
Una trama viene trasmessa da una 
sorgente e ricevuta da un target 
che deve controllare l'attendibilità 
di quanto ricevuto per poter a sua 
volta comunicare alla sorgente che 
quanto trasmesso è arrivato integro. 
Esistono molteplici tecnologie come 
ad esempio Ethernet o ATM, solo 
per indicarne alcune, ciascuna con 



propria implementazione della trama 
di secondo livello. 
Generalmente le trame vengono 
numerate e la tecnica di controllo si 
chiama Acknoledge. Essa consiste 
nell'inviare in risposta alla trama 
trasmessa una trama in risposta 
che contenga l'ACK di quanto 
ricevuto. Questa trama può anche 
essere cumulativa e contenere 
l'ACK per diversi pacchetti. Qualora 
la macchina sorgente non riceva 
l'ACK per un dato pacchetto in un 
tempo predeterminato, provvedere 
a ritrasmetterlo. 

Ciascun mezzo trasmissivo rispetta 
le proprie specifiche di secondo 
livello. In alcuni casi possono essere 
implementati meccanismi che 
regolano anche il traffico ossia la 
quantità di dati che possono essere 
trasmessi e ricevuti, provvedendo 
ad accelerare o rallentare il flusso a 
seconda delle necessità. 
Tra il secondo ed il terzo livello c'è 
un livello ibrido dove lavorano, ad 
esempio, le centrali telefoniche a 
commutazione o gli switch ethernet, 
in grado di creare delle tabelle di 



mstradamento proprie del livello 
Network, sfruttando caratteristiche 
proprie del Data Link. 



NETWDRK 



lesto livello e il primo di quell 
composti da solo software, 
svincolati dall'hardware che 
caratterizzava i primi due livelli. 
La caratteristica principale è quella 
di stabilire il percorso più efficiente 
attraverso i diversi mezzi fisici 
che si trovano a livello più basso. 
Questo meccanismo si chiama 
Routing e viene implementato 
attraverso la creazione di tabelle 
che indicano i segmenti contigui di 
indirizzi definiti dalle subnet mask. Il 
meccanismo è abbastanza semplice 
e consiste nella definizione di gruppi 
di indirizzi associando a ciascuno 
di essi una interfaccia di rete che 
è in grado di gestire il mezzo fisico 
utilizzabile per l'instradamento. 
Per una centrale telefonica 
l'equivalente è la creazione del 
circuito virtuale tra due utenze 
telefoniche mentre per il protocollo 



dato da una entry in una tabella 
di routing. Essa potrà essere 
composta da un indirizzo di 
rete (10.190.0.0), da una subnet 
(255.255.0.0), da un Gateway 
(192.168.0.1) e da un parametri 
1 metrico che stabilisce la priorità 
di utilizzo qualora coesistano 
diversi percorsi per la medesima 
destinazione. 

Infatti, la rete 10.190.0.0 composta 
da 65.536 indirizzi contigui 
(256x256), raggiungibile attraverso 
l'interfaccia 192.168.0.1 può essere 
raggiunta anche da altre interfacce 
come ad esempio la 172.64.0.1 e 
la 10.200.0.1. La scheda di rete 
Gateway indicata nella tabella 
di routing con il valore metrico 
inferiore è quella che avrà la 
precedenza nella trasmissione del 
pacchetto. 



TRANSPDRT 

Ormai consideriamo unicamente 
il TCP/IP e a questo livello si 
posiziona lo strumento che 



garantisce alle applicazioni 
del livello superiore di ricevere 
e trasmettere un flusso di 



dati costante. Il Trasporto fa 
esattamente ciò che viene 
specificato nel nome, ossia si 
incarica di gestire a livello logico il 
punto di arrivo e quello di partenza 
e non ha idea dei meccanismi di 
instradamento del livello inferiore e, 
men che meno, è interessato dalle 
problematiche connesse al mezzo 
fisico. 

Il flusso di dati ricevuti 
dall'applicazione che risiede a 
livello superiore, come vedremo 
tra un attimo, viene segmentato 
e trasmesso a pezzetti per poi 
essere ricostruito ed inviato 
all'applicazione in attesa sul nodo 
di destinazione, come se nulla fosse 
avvenuto. 

Magari, nel frattempo i dati hanno 
attraversato continenti ed oceani, 
ma per quanto lo riguarda, il 
Trasporto ha provveduto soltanto 
a prevenire la congestione, 
ottimizzando la frequenza di 
trasmissione dei pacchetti. 



APPLICAZIONE 

Il Modello ISO/OSI prevede 
ulteriori tre strati dove lavorano 
rispettivamente la sessione, la 
presentazione e l'applicazione, ma 
per quanto attiene il TCP/IP, questi 
tre strati vengono accomunati in 
uno solo a livello Applicativo. 
Nella Sessione operano solamente 
alcuni protocolli come il NFS 
(Network File System) utilizzato per 
accedere a dischi fisici attraverso 
la rete mentre gli algoritmi di 
cifratura/decifratura o i protocolli 
di File Sharing funzionano al livello 
Presentazione. 
Ma quello che veramente ci 
interessa risiede a livello Applicativo 
dove troviamo, appunto, le 
applicazioni che interagiscono con 
l'utente finale. 

Ciascuna di esse è "in ascolto" o 
"trasmette" su una delle 65.536 
porte gestite dal livello Trasporto 
che scendendo e salendo i vari 
strati della pila ISO/OSI arriveranno 
a destinazione. ^^ 
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Per tenere sotto controllo una o più macchine remote, il mondo open- 
source mette a disposizione tantissimo software. Il più semplice da 
usare e da configurare è, senza ombra di dubbio, MRTG (http://oss.oe- 
tiker.ch/mrtg) Iniziamo col dire che sono indispensabili alcune librerie 
ed alcuni programmi: 

* [net -analyzer /net -snmp] 

* [media -libs/libgd] 

* [net -analyzer /mrtg] 

* [sys-apps/dcron] 

Opzionalmente possiamo anche visualizzare remotamente le statisti- 
che avvalendoci di un server web come Mini_httpd 
<http://www.acme.com/software/mini_httpd/> o Apache <http://www. 
apache.org>. Vorrei faceste attenzione durante il copia ed incolla dei 
seguenti comandi. Dato che molti sono sensibili ai cosiddetti "line feed 
errar", specie quelli che cominciano con: 

Vbin/cat -s > /foo/bar* Ricordo inoltre che ad ogni /bin/cat -s, vanno 
premuti contemporaneamente i tasti: [etri] e il tasto [d]. 
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Cominciamo! 

Con i permessi di amministratore di sistema (o superben- 
te) creiamo le directory necessarie 
$su - 
Password: i 

" lustratore 
$mkdir /etc/mrtg 
$mkdir /etc/cron.mrtg 

kdir /var/www/localhost/: 



Create le directory possiamo cominciare a configurare il 
nostro file di configurazione snmpd.conf: 



$/bin/cat -s > /etc/snmp/s 
com2sec locai 127.0.0, 




com2sec locai 



10.10. 



public 



group MyROGroup vi 
group MyROGroup v2c 
group MyROGroup usm 



locai 
locai 
locai 



/etc/rcd/j 




qualcosa come: Vusr/local/etc/rc.d/snmpd.sh start* Perei 
accertatevi sul come avviare i servizi del vostro GNUA 
Linux o BSD (o system V) che sia, e continuate la lettiga. 
Accertatevi anche che il path per il file MIB.txt sia corretto. 
Arrivati a questo punto dobbiamocominciare a configurare 
i vari servizi che vorremmo monitorare. 
Primo fra tutti, il traffico generato. Lanciamo quindi il col 
mando: 

Lsr/bin/cfgmaker \ 
- -output = /etc/mrtg/ traffìc.cfg \ 
--ifdesc=ip \ 
--ifref=descr \ 

--global "WorkDir: /var/www/localhost/ 
--global "Options [_] : bits # growrighf/^\ 
public@localhost ^^ 

In questo modo il comando cfgmaker creerà un file chia- 
mato Vetc/mrtg/traffic.cfg* che conterrà tutte le informa- 
zioni per il polling snmp del traffico di rete. Occupiamoci 



della CPU ^ 



vxew ali 



's locati 



noauth 



'Location 



e aveie^atto un copia/incolla, ora dovreste premere con- : public@localhost +ssCpuRawNice . -i 

jmporaneamente i tasti [ctrl]+[d], così da interrompere 0&ss<^uRawNic -i e. :public@localhost 

inserimento dei caratteri. Infatti, cat -s, attende un vostro RouterUptime [localhost . epu] : public@iocalhost 

"segnale" prima di procedere con la "concatenazione" fi- MaxBytes [localhost .cpu] : 100 



/bin/cat -^>^^tc/mrtg/cpu.cfg 

WorkDir^r*j^fr/ www/ localhost /mrtg 

Loa^Mfps^: /usr/share/snmp/mibs/UCD-SNMP-MIB. 

■arget [ localhost . cpu] : ssCpuRawUser . 
O&ssCpuRawUser . :public@localhost 
+ ssCpuRawSystem.O&ssCpuRawSystem. 
:public@localhost+ssCpuRawNice . -i 

uRawNic -i e.0:public@localhost 



naie dell'informazione. Se preferite incollare solo lo script, 
tralasciatelo :) Questo file consentirà di impostare il servizio 
snmpd secondo le nostre esigenze, ed evitare di permet- 
tere l'accesso in lettura alle persone non addette ai lavori. 
Ricordo inoltre che snmpd è altamente configurabile, e che 
un man snmpd risponderà ad ogni vostra ulteriore doman- 
da. Ora occupiamoci del file /etc/conf.d/snmpd aggiun- 
gendo la riga: 0\ 



«Bytes [localhost. cpu] : 100 
tlefl.ocalhost.cpu] : CPU Load 



-e /etc/snmp/Snmpd.conf 

\ 
alla variabile: *SNMPD_FLAGS 
qualcosa come questo: 



...ww.. M .w ww.w .w ww. . K ., L -.ocalhost.cpu] : CPU Load 

rà di impostare il servizio Pagetfop [ localhost . cpu] : <Hl>Act ive CPU 
*, ed evitare di permet- Load%</Hl> 

e non addette ai lavori. unscaled [localhost . cpu] : ymwd 
ente configurabile, e che ShortLegend [localhost . cpu] : % 
vostra ulteriore doman- YLegend [localhost. cpu ] : CPU utilization 
onf.d/snmpd aggiun- Legendl [localhost. cpu ] : Active CPU in % . 

Legend2 [localhost . cpu] : 

Legend3 [localhost. cpu] : 

Legend4 [localhost . cpu] : 

Legendl [localhost . cpu] : Active 
•vrebbe quindi risultare Legendo^ [localhost . cpu] : 
\ ti Options [localhost. cpu] : growright # nopercent 



Active CPU in 



V 

on 




SNMPD_FLAGS="-c /etc/snmp/snilida.conf 



facciamo partire il servizio *snmpd* 

/et e/ ini t.d/ snmpd start 
/sbin/ re -update add snmpd \ 



Questa sintassi può variare da distribuzione a^distribu- 
zione. In questo caso ho utilizzato la sintassi di GNU/ 
Linux Gentoo <http://www.gentoo.org/>. Se invece avessi 
utilizzato la sintassi GNU/Linux Slackware <http://www. 
slackware.com/>, avrei dovuto usare Vetc/rc.d/rc.snmpd 
start*. Se fossimo in ambiente BSD, avremmo dovuto usare 



Premiamo come poco fa i tasti [ctrl]+[d], e passiamo alla 



/bin/cat -s > /etc/mrtg/mem.cfg 
LoadMIBs : /usr/share/snmp/mibs/HOST--i 
RESOURCES -MIB . txt ^^f 

"localhost .mem] : .1.3.6.1.4.1.2021.4.1-1 
"" .2021.4.11.0:public@localhost 
PageTop [localhost. mem] : <Hl>Free Memory </Hl> 
WorkDir: /var/www/localhost /mrtg 
Options [localhost .mem] : nopercent # growri* 
gauge , noinf o ^. 

Title [localhost. mem] : Free Men 
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MaxBytes[localhost.mem] : 1000000 
kMG[localhost.mem] : k,M,G,T,P,X 
YLegend[localhost.mem] : bytes 
ShortLegend[localhost.mem] : bytes 
LegendI [localhost.mem] : Free Memory: 
LegendO[localhost .mem] : 

LegendI [localhost.mem] : Free memory, not 
including swap, in bytes 

Di nuovo [ctrl]+[d]. La memoria swap: 



/bin/cat -s > /etc/mrtg/swap.cfg 

LoadMIBs : /usr/share/snmp/mibs/UCD-- 

SNMP-MIB.txt 

Target [ localhost . swap] : memAvailSwap . 

O&memAvailSwap. :public@localhost 

PageTop [localhost. swap] : <Hl>Swap Memory</Hl> 

WorkDir: / var /www/ localhost /mrtg 

Options [localhost. swap] : nopercent, -i 

growr ight , gauge # noinf o 

Title [localhost. swap] : Free Memory 

MaxBytes [localhost. swap] : 1000000 

kMG[ localhost. swap] : k # M # G # T # P # X 

YLegend[ localhost. swap] : bytes 

Short Legend[ localhost. swap] : bytes 

LegendI [localhost. swap] : Free Memory: 

LegendO [localhost. swap] : 

LegendI [localhost. swap] : Swap memory -i 

avail, in bytes 



#!/bin/sh 

/usr/bin/mrtg /etc/mrtg/traffìc.cfg 

[ctrl]+[d] 

/bin/cat -s > /etc/cron.mrtg/cpu.sh 

#!/bin/sh 

/usr/bin/mrtg /etc/mrtg/cpu.cfg 

[ctrl]+[d] 



# 



consueto [ctrl]+[d]. Veniamo ora ad un classico del mo- 
...oraggio: il ping! Questo comodo tool ci permetterà di sa- 
pere i tempi di round trip su siti conosciuti da monitorare. 

/bin/cat -s > /etc/mrtg/ping.cfg 
WorkDir: /var /www/ localhost /mrtg 
Title [localhost. ping] : Round Trip Time 

Top [localhost. ping] : <Hl>Round Trip -i 

e</Hl> 

rget [localhost. ping] : x /etc/mrtg/ping.sh" 
ytes [localhost. ping] : 2000 

:ions [localhost. ping] : growright, -i 

maszero, nopercent , gauge 
^egendl [localhost. ping] : Pkt loss % 
LegendO [localhost. ping] : Avg RTT 
~iendl [localhost .ping] : Maximum Round -" 

.p Time in ms 

rend2 [localhost. ping] : Minimum Round -i 
Trip Time in ms 
Legend3 [localhost. ping] : Maximal 5 -i 

Lute Maximum Round Trip Time in ms 
egend4 [localhost. ping] : Maximal 5 -i 
Minute Minimum Round Trip Time in ms 
YLegend[ localhost. ping] : RTT (ms) 



Minimum Round 



/bin/cat -s > /etc/cron.mrtg/mem.sh 

#!/bin/sh 

/usr/bin/mrtg /etc/mrtg/mem.cfg 

[ctrl]+[d] 

/bin/cat -s > /etc/cron.mrtg/swap.sh 

#!/bin/sh 

/usr/bin/mrtg /etc/mrtg/swap.cfg 

[ctrl]+[d] 

/bin/cat -s > /etc/cron.mrtg/ping.sh 

#!/bin/sh 

/usr/bin/mrtg /etc/mrtg/ping.cfg 

[ctrl]+[d] 

Prepariamo ora lo script che andrà a compiere il comando: 

/bin/cat -s > 

/etc/mrtg/ping.sh #!/bin/sh PING="/bin/ m 

ping" # Google, for example 

ADDR="google.com" DATA="$PING -clO -s500 -i 

$ADDR -q " LOSS=^echo $DATA | 

awk Sprint $18 }' | tr -d V echo $LOSS -i 

if [ $LOSS = 100 ] ; then echo 

else echo $DATA I awk -F/ % {print $5 }' fi. 




Ancora [ctrl]+[d]. Cominciamo ora a generare gli script che 
andranno a richiamare mrtg: 

/bin/cat -s > /etc/cron.mrtg/trafnc.sh 
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Rendiamo quindi eseguibili gli script con: 

/bin/chmod +x /etc/cron.mrtg/*.sh 
/bin/chmod +x /etc/mrtg/ping.sh 




% 
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A questo punto avviamo per tre volte ogni script, così da 
poter generare le prime statistiche. Non badate agli errori 
dato che inizialmente non avrà le vecchie (statistiche): 

/bin/sh /etc/cron.mrtg/traffìc.sh 
/bin/sh /etc/cron.mrtg/cpu.sh 
/bin/sh /etc/cron.mrtg/mem.sh 
/bin/sh /etc/cron.mrtg/swap.sh 
/bin/sh /etc/cron.mrtg/ping.sh 

Finalmente abbiamo le nostre statistiche! Non ci resta in- 
fine che generare un index.html che permetta di ordinare 
tutti i nostri grafici: 

/usr/bin/indexmaker - -output =/var /www/ -i 
localhost/mrtg/ index. html \ 
--title="Power Under Control :)" \ 
--sort=name \ 
--enumerate \ 
/etc/mrtg/traffìc.cfg \ 
/etc/mrtg/cpu.cfg \ 
/etc/mrtg/mem.cfg \ 
/etc/mrtg/swap.cfg \ 
/etc/mrtg/ping.cfg 

Perfetto! Non ci resta che aggiungere in cron il nostro lavo- 



crontab -e 

/bin/cat >> /var/ spool/ cron/ crontabs/root 
*/5 * * * * /bin/run-parts /etc/cron. -i 
mrtg 1> /dev/null 



a disposizione dalla suite net-snmp *snmptranslate*. Come 
è facile intuire, questo programma 

trasforma l'oggetto (OID) in una descrizione sul suo conte- 
nuto, facilitando così la lettura e la comprensione. 

$ snmptranslate -IR -Td mgmt .1.2 .2 .1.10.2 
IF-MIB: :ifln0ctets.2 
iflnOctets OBJECT-TYPE 

-- FROM IF-MIB, RFC1213-MIB 

SYNTAX Counter32 

MAX-ACCESS read-only 

STATUS current 

DESCRIPTION "The total number of octets received on 
the interface, including framing characters. 
Discontinuities in the value of this counter can occur at re- 
initialization of the management system, 
and at other times as indicated by the value of ifCounterDi- 
scontinuityTime." 

::= { iso(l) org(3) dod(6) internet (1) -i 
mgmt (2) mib-2(l) 

interfaces(2) ifTable(2) ifEntry(l) -i 
iflnOctets(lO) 2 } 

Ora, per esempio, potreste divertirvi a conoscere gli OID di 
un vostro host, semplicemente con: 

$ snmpwalk -v 1 -e public localhost 

Quindi, adesso, potrete generare i vostri file di configura- 
zione (oppure come ho fatto io per il ping, con uno script) a 
seconda delle informazioni di cui avete bisogno. Una lettu- 
ra ai manuali di: 




# 



Bene. Abbiamo concluso!! Puntiamo il nostro browser 
preferito su: /var/www/localhost/www/index.html In caso 
qualcuno di voi volesse usare mini_httpd o apache, san/t è 
necessario far puntare la DocumentRoot a tale subdirecto- 
ry, avviare il servizio e collegarsi su: http://localhost/mrtg 
Ecco qui le nostre statistiche! Per approfondire meglio lo 

Studio deN'snmp, il tool *net-snmp* mette a disposizione 
variati tool informativi e di diagnosi. Iniziamo con snmp- 
walk: Snmpwalk is an SNMP application that uses SNMP 
GETNEXT requests to query a network entity 
for a tree of information Quindi, snmpwalk, sfrutta la richie- 
sta *GETNEXT* per ottenere informazioni sull'alberatura 
snmp dell'oggetto richiesto. In questo modo possiamo 
utilizzarlo come banale "visualizzatore" di stato. Il risultato 
ottenuto sarà quindi il valore dell'OID (Object Identifier) 
richiesto. Cominciamo quindi con la richiesta dell'oggetto: 
*mgmt.1 .2.2.1 .10.2* 

$ snmpwalk -v 1 -e public localhost -i 

mgmt. 1.2. 2. 1.10. 2 

IF-MIB: :ifln0ctets. 2 = Counter32: 140021440 

Ecco che quindi, snmpwalk, ci ha restituito il valore dell'og- 
getto desiderato. Per conoscere a cosa corrisponde un 
determinato oggetto, possiamo usare un'altra utility messa 



mrtg 
snmpd 
snmpwalk 
snmptranslate 

sarà sicuramente più esplicativa. Beh, non mi resta che au- 
gurarvi un buon *MRTG* a tutti! khazad-dum. 



Tobi Ofltiker 1 * MRTG -The Multi Router Traffic Grapher 
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LO STRATO PIÙ BASSO 



DELL'INFRASTRUTTURA DI RETE E 



SPESSO IGNORATO DAGLI UTENTI 



CHE NON INTERAGISCONO CON 



esso. Senza considerare 



DELIBERATAMENTE QUESTO LIVELLO E 



IMPOSSIBILE COSTRUIRE UN SISTEMA 



SICURO PER LE APPLICAZIONI CHE 



AGISCONO A LIVELLI PIÙ ELEVATI. 



ID SNIFFD, 

TU SNIFFI, 

EGLI SNIFFA 



Sniffare e un'azione passiva 
ossia vengono elaborati 
solo i dati che raggiungono 
autonomamente lo "sniffer". 
Vuol dire che i dati devono 
viaggiare autonomamente 
perché non viene fatta 
alcuna azione per andarseli a 
prendere. 

Il concetto è fondamentale 
perché generalmente le 
reti sono segmentate da 
innumerevoli apparati, come ad 
esempio gli switch, che creano 
circuiti virtuali tra i nodi, 
oppure da router che smistano 
i pacchetti soltanto sul nodo di 
competenza. 

Se volessimo analizzare il 
traffico generato da un server 
collegato direttamente ad 
uno switch layer 2 o layer 3, 
che oggigiorno è la regola, 
occorrerebbe replicare 
in mirroring la porta del 
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collegamento del server su di 
una seconda porta dello switch 
dove collocare lo sniffer. 
In tal modo tutti i dati che 
transitano sui circuiti virtuali 
tra i diversi nodi gestiti 
dallo switch, che altrimenti 
sarebbero invisibili, possono 
essere rilevati. 
Per questa ragione, se 
pensiamo di utilizzare uno 
sniffer da casa, a valle di una 
linea ADSL, per scoprire chissà 
quale segreto, probabilmente 
resteremmo delusi. 
Di contro, utilizzare uno 
strumento simile al lavoro 
o all'Università potrebbe 
essere visto come un attacco 
all'integrità del sistema e se 
le policy aziendali prevedono 
il licenziamento, attenzione a 
non farvi beccare! 
Ciò non toglie che uno sniffer 
può rivelarsi uno strumento 
insostituibile per capire in che 
modo comunicano in rete le 
applicazioni che normalmente 
utilizziamo, ma andiamo con 
ordine. 



# 



:lli ed 
indirizzi 



Secondo il modello ISO/OSI di 
riferimento, tutte le interfacce 
che insistono sulla medesima 
rete ethernet hanno un indirizzo 
fisico al livello più basso che 
normalmente è differente 
dall'indirizzo utilizzato dal 
protocollo, che si chiama MAC 
address. Oltre a questo, tutti i 
nodi dispongono di un indirizzo 
di broadcast univoco per tutto 
il segmento di rete. Nel normale 
funzionamento della scheda di 
rete, viene elaborato solamente 
il pacchetto che contiene il 
proprio indirizzo fisico o quello 
di broadcast, ignorando tutti gli 
altri. 

Lo sniffer, invece, raccoglie 
tutto. Essenzialmente presenta 
all'utente una sequenza ordinata 
di pacchetti che contengono 
principalmente l'ora in cui sono 
stati ricevuti, l'indirizzo sorgente, 
l'indirizzo di destinazione ed il 
contenuto. 
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mimm> tradotto alla lettera, sicivifica "abusare, odorare", ed e 

PROPRIO IL TERMINE PIÙ ADATTO PER INDICARE L'AZIONE DI RILEVARE DATI CHE 
NON SONO DESTINATI ALLA PROPRIA MACCHINA, MA SEMPLICEMENTE IN TRANSITO. 
"SNIFFANDO" CI SI LIMITA AD ELABORARE I PACCHETTI CHE RAGCIUNBONQ IL PROPRIO 
NODO CHE NORMALMENTE VERREBBERO SCARTATI, SENZA ALTERARNE IL CONTENUTO, 
QUALORA QUEST'ULTIMO VEN6A ALTERATO SI TRATTEREBBE DI "SPOQFING", DEL 
QUALE PARLEREMO PROSSIMAMENTE, I PROCRAMMI PER FARE SNIFFINO SONO MOLTI 
E NON ABBIAMO LO SPAZIO DI ANALIZZARLI NEL DETTAGLIO MA I MIGLIORI SONO 
REPERIBILI ALL'INDIRIZZO RTTP://SECTOOLS,ORG/SNIFFERS JTML, CORREDATI ANCHE DI 
UN'ESAUSTIVA DESCRIZIONE DELLE FUNZIONALITÀ DI CIASCUNO, 



Avendo a disposizione una 
sequenza di questo tipo è 
possibile ricostruire il traffico 
tra i diversi nodi ma occorre 
disporre di un discreto spazio 
sul disco perché in alcune 
realtà possono transitare 
migliaia di pacchetti al secondo 
che, se consideriamo che 
ciascuno occupa almeno 
64 byte, si capisce come si 
possa rapidamente generare 
una quantità esagerata di 
informazioni. 



Normalmente proprio per 
questa ragione è meglio 
utilizzare dei filtri con i 
quali limitarsi a catturare 
esclusivamente quei pacchetti 
che realmente reputiamo degni 
di interesse. 



MA CDSA 

SNIFFO? 



L'attività più difficoltosa 
nell'uso di uno sniffer è 



decidere che cosa catturare. 
Occorre avere una profonda 
conoscenza dei meccanismi dei 
diversi protocolli di rete e non 
solo del TCP/IP. 
Per prima cosa decidiamo che 
cosa catturare e stabiliamo a 
che livello della pila ISO/OSI 
vogliamo lavorare. 
Al primo livello possiamo 
raccogliere i segnali Bluetooth, 
DSL, RS-232 ed altri, mentre 
nel secondo livello possiamo 
raccogliere i segnali Ethernet, 
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PPP, Frame Relay, Token 
Ring, Wi-Fi, ATM ed altri. In 
entrambi i livelli dobbiamo 
avere a disposizione una 
sonda particolare in grado di 
interpretare tali segnali. Nel 
nostro caso consideriamo 
unicamente la rete ethernet 
perché possiamo utilizzare 
come sonda la scheda ethernet 
del nostro computer. 
Sulla rete ethernet, al terzo 
livello, esistono vari protocolli 
alternativi all'IP (Internet 
Protocol) che conosciamo così 
bene. Ad esempio possiamo 
citare i protocolli IPX, X.25 
e DHCP solo per indicare i 
principali. 

Non si tratta di teoria. In pratica 
una stampante con interfaccia 
di rete configurata male, 
collegata sullo switch di casa, 
potrebbe generare traffico 
IPX assolutamente inutile. Se 
collegate uno sniffer e rilevate 
traffico IPX o Appletalk senza 
avere un Macintosh, qualcosa 
non quadra. 

Salendo al quarto livello 
possiamo rilevare 
pacchetti TCP o UDP, | 

usati su IP, ma anche 
SPX se è presente 
l'IPX oppure il vecchio e 
glorioso NetBIOS, ormai in 
progressivo abbandono. 
Al livello più alto, 
applicativo, rileviamo i 
protocolli DNS, NPT, SNMP, 



POP, IMAP, FTP, IRC, HTTP, 
fino ad arrivare ai protocolli più 
oscuri utilizzati da applicazioni 
di nicchia. 



ABBIAMD LE 
IDEE CHIARE . 



E' proprio al livello applicativo 
che c'è il succo di quello che 
vogliamo scoprire. Arrivati a 
questo punto, possiamo citare 
tantissima letteratura che ci 
suggerisce come fare a rilevare 
le password, i numeri di carta di 
credito oppure dati privati che 
dovrebbero restare nascosti. 
Se consideriamo ad esempio il 
Telnet, impostando i filtri su host 
server ed host client possiamo 
limitarci a catturare il traffico in 



transito sulla porta 23 del TCP. 
All'inizio della sessione tra server 
e client avremo così modo di 
catturare la sequenza di caratteri 
che contiene l'utente e password 
praticamente senza fare alcuno 
sforzo. 

In effetti, sono tutte cose 
tecnicamente molto semplici da 
realizzare attraverso l'uso di uno 
sniffer, ma non dimentichiamo 
che i dati ci devono passare 
davanti. Infatti sapere che il 
Telnet trasmette le password 
di autenticazione in chiaro un 
carattere alla volta, ci serve 
a poco se quei caratteri non 
passano davanti alla scheda 
ethernet sulla quale insiste lo 
sniffer. Non dimentichiamo, 
inoltre, che i vecchi sistemi di 
comunicazione come Telnet 
e POP3, sono in progressivo 
abbandono a favore di sistemi 
molto più avanzati come SSL, 
HTTPS, Kerberos e simili, per i 
quali il discorso delle password in 
chiaro non vale più. Nonostante 
tutto, lo sniffer è uno strumento 
impareggiabile quando si 
vuole risolvere un problema 
di comunicazione. Sapere nel 
dettaglio che cosa si dicono 
due applicazioni attraverso 
la rete può essere molto utile 
soprattutto per coloro che 
sviluppano le applicazioni 
e vogliono implementare 
meccanismi di traffico sempre 
più performanti. 
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'Conclusa la necessaria trat- 
tazione teorica nel corso del 
precedente numero della rivista, 
in questa sede vedremo come 
endere definitivamente operati- 
va la soluzione prospettata. 
Prima di iniziare stendiamo una rapida 
roadmap di quel che andremo a fare di 
seguito. 

In prima battuta, com'è facile intuire, ci 
preoccuperemo di installare OSSEC sul 
server (che ricordiamo essere OpenBSD 
4.6) configurandolo fedelmente rispetto 
a quanto detto nella precedente puntata. 
Sarà inoltre comodo installare l'inter- 
faccia web (ossec-wui) direttamente in 
questo passaggio, rendendola immedia- 
tamente funzionale. 
Vedremo quindi come abilitare effetti- 
vamente i processi di difesa autonomi 
attraverso la modalità "Active Response" 
dell'HIDS e come configurare la stessa 
con il firewall di sistema (PF). Passeremo 
quindi all'installazione dei vari agenti sugli 
host della nostra rete. 
Infine, testeremo il lavoro svolto pianifi- 
cando alcuni attacchi generici diretti sia 
al server che ai vari host. 



INSTALLAZIDNE DEL 
SERVER 

Nel numero 1 97 della rivista abbiamo 
avuto modo di analizzare l'installazione 
di OpenBSD 4.6. Partiremo pertanto 
da quella nel seguito di questo articolo, 
integrando le opportune modifiche da 
apportare al sistema. 

Al momento della scrittura di questo 
articolo, l'ultima versione di OSSEC 
disponibile per il download è la 2.3 repe- 
ribile all'indirizzo www.ossec.net/m 
downloads/. 



Logghiamoci pertanto come root al ser- 
ver OpenBSD, scarichiamo e decompri- 
miamo l'archivio di nostro interesse nella 
directory di root di Apache (/var/www, il 
motivo di questa scelta sarà chiaro quan- 
do affronteremo l'installazione dell'inter- 
faccia Web dell'applicativo): 

# ed /var/www/ 

# wget http://www.ossec.net/ 
fìles/ossec-hids-2 . 3 . tar .gz 

# tar zxvf ossec-hids-2.3.tar. 



Avviamo quindi il processo di installazio- 
ne, che commenteremo di seguito in ogni 
singolo punto: 

# ed ossec-hids-2.3/ 

# ./ instali. sh 

Verrà prima di tutto richiesta la lingua da 
utilizzare per l'installazione; digitiamo "it" 
e diamo Invio. 

Lo script di installazione (di seguito 
SDÌ) si occuperà di fornire un riepilogo 
el sistema, chiedendoci conferma per 
continuare. Diamo semplicemente Invio 
per procedere. 

Da questo punto in poi partiranno una 
serie di domande da parte dello SDÌ 
volte a definire la tipologia di installazio- 
ne richiesta, eventuali parametri relativi 
alla nostra macchina e le directory dove 
finalizzare il setup. Malgrado questa fase 
si spieghi da sola, commenteremo anche 
qui i singoli passaggi: 

Definiamo innanzitutto la tipologia di in- 
stallazione tra quelle proposte. Scriviamo 
pertanto "server" e diamo Invio. 
Indichiamo il percorso di installazione 
dell'HIDS. Scriviamo "/var/www/ossec". 



■ACKER JOURNAL 23 



<$> 



<$> 




Abilitiamo la notifica degli alert via mail 
rispondendo "s". 

Inseriamo il nostro indirizzo di posta 
elettronica 

Lo SDA individuerà autonomamente il 
server SMTP relativo alla mail inserita, 
confermiamo l'utilizzo del medesimo 
scrivendo "s". 

Abilitiamo il controllo di integrità dei file 
(Syscheck) digitando "s". 
Stesso discorso per il riconoscimento dei 
rootkit (Rootcheck). 
Attiviamo la risposta attiva (Active Re- 
sponse) rispondendo affermativamente 
all'apposita richiesta ed a quella succes- 
siva relativa alle risposte firewall-drop. 
Definiamo eventuali IP (esclusi i DNS 
primari e secondari, già inclusi) da 
escludere dai controlli. Nel nostro caso, 
volendo monitorare anche i comporta- 
menti interni alla rete, abbiamo risposto 
negativamente. 

Disabilitiamo il Syslog remoto risponden- 
do "n". 

Il processo di configurazione pre-installa- 
zione è ora concluso. 

Immediatamente l'HIDS offre un riepilogo 
dei file che saranno oggetto di analisi 
sulla macchina entro quale è installato. 
Il processo è totalmente automatizzato 
e lo SDA individua del tutto autonoma- 
mente i file di log di base del sistema, nel 
nostro caso OpenBSD: 



- Configurazione terminata cor- 
rettamente . 

- Per avviare OSSEC 
HIDS: /var/www/ossec/bin/ -i 
ossee -control start 

- Per arrestare OS- 
SEC HIDS: /var/www/ossec/bin/ -■ 
ossee -control stop 

- La configurazione può essere 
vista o modificata in /var/ 
www/ossec/etc/ossec . conf 
Grazie per aver scelto OSSEC 
HIDS. 



Concludiamo infine l'installazione dell'ap- 
plicativo impostando l'avvio dello stesso 
insieme al sistema operativo, inserendo 
nel file "/etc/rc.local" la seguente diret- 
tiva: 

echo "Avvio OSSEC HIDS f/ 
/var/www/ossec/bin/ossec- 
control start 



ristica. Inserendo un'opportuna tabella 
denominata "ossec_fwtable" all'interno 
del file di configurazione del firewall l'ap- 
plicativo si occuperà di riempirla secondo 
le necessità del caso, andando di volta in 
volta ad inserire quei singoli IP identificati 
quali mittenti degli alert generati e dei 
tentativi di attacco ricevuti. 

PF, matchando semplicemente la tabella, 
imposterà un blocco in uscita ed in entra- 
ta su tutto il gruppo di IP definito. 

Vediamo quindi come istruire il firewall in 
tal senso. Editiamo la configurazione del- 
lo stesso, inserendo nel file "/etc/pf.conf" 
le seguenti tre righe: 

# OSSEC 

table <ossec_fwtable> persist 



block in quick from <ossec_ 

fwtable> to any 

block out quick from any to -i 

<ossec_fwtable> 

# 



RISPOSTA ATTIVA 
E CONFIGLI RAZ IONE Non importa la collocazione di questo 
DI P F blocco di istruzioni. Questo perché, 

come abbiamo avuto modo di scoprire 



Installato OSSEC ci preoccuperemo di 
configurare correttamente PF, integran- 



do tempore, l'utilizzo della direttiva quick 
impone l'esecuzione dell'azione definita 



dolo all'HIDS al fine di rendere operativa indipendentemente dall'ordine che que- 
la modalità Active Response dell'appli- sta assume rispetto alle altre. 



3.6- Imposto la configurazio- 
ne per l'analisi dei seguenti 
logs: 

— /var/log/messages 

— /var/log/authlog 

— /var/log/secure 

— /var/log/xferlog 

— /var/log/maillog 

— / var /www/ logs /access_log 
(apache log) 

— / var /www/ logs /error_log 
(apache log) 

Diamo Invio per dare il via all'effettiva 
compilazione dei sorgenti dell'applica- 
tivo. 

Il processo si esaurirà nel giro di qualche 
minuto. 

Se tutto è andato per il verso giusto 
l'output risultante dello SDA dovrebbe 
essere il seguente: 



Da questo momento l'HIDS si integrerà 
perfettamente al firewall del sistema. 



Nel numero 1 88 della rivista abbiamo perfettamente al firewall del sistema, 

avuto modo di affrontare abbastanza I meccanismi di protezione autonoma 

dettagliatamente l'utilizzo e la conf igu- offerti faranno si che l'applicativo, d'ora 

razione del packet f ilter di OpenBSD per in poi, si configuri esattamente come 

utilizzi generici. In questa sede, partendo HIPS (Host-based Intrusion Prevention 

da quella base, aggiungeremo un'ulterio- System), 
re necessaria nozione che ci consentirà 

di capire come funziona l'interfacciamen- La modalità Active Response di OSSEC 

to tra l'HIDS ed OpenBSD. non si esaurisce al solo inserimento degli 

IP originari degli attacchi nella tabella 

Per gestire più istanze singole accor- appena definita. Essa, di default, per un 

pandole ad un'unica azione, PF offre un periodo di tempo determinato in fase di 



to tra l'HIDS ed OpenBSD. 

Per gestire più istanze singole accor- 



meccanismo tabellare semplice e per- 



scrittura delle regole dell'HIPS, collo- 



formante. Definendo apposite tabelle di cherà i medesimi IP nel file "hosts.deny" 
indirizzi identificate da un nome univoco, del sistema, su OpenBSD come per 



è infatti possibile associare particolari 
azioni al blocco di indirizzi identificato 
dalle stesse. 

OSSEC sfrutta proprio questa caratte- 



la stragrande maggioranza dei sistemi 
Unix-like, collocato nella directory "etc". 



AGENTI 
Come abbiamo esaurientemente spiega- 
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to nel corso del numero passato, OSSEC 
colleziona le informazioni ed i log degli 
host della nostra rete attraverso i vari 
agenti installati sulle singole macchine. 

Per funzionare, un agente invia la propria 
chiave di autenticazione al Server che lo 
identifica univocamente. 
Il tool che si occupa della gestione degli 
agenti è "manage_agents", collocato 
nella directory "/var/www/ossec/" " 

Vediamo di seguito il procedimer 
per l'inserimento di un singolo ag 
questo, ovviamente, risulterà invariato 
per ogni ulteriore installazione. In prima 
istanza, una volta avviato il tool, digitiamo 
"A" per aggiungere un nuovo client: 

# /var/www/ossec /bin/manage_ 
agents 

(A) dd an agent (A) . 

(E)xtract key for an 
agent (E) . 

(L)ist already added 
agents (L) . 

(R) emove an agent (R) . 

(Q)uit. 
Choose your action: A,E,L,R or 
Q: A 

Saranno quindi richiesti i dettagli relativi 
al nuovo agente (nome, indirizzo IP ed un 
ID numerico). 

Rispondiamo in base alle nostre esigenze 
come di seguito: 



* A name for the new agent: 
PC -Windows 1 

* Hie IP Address of the 
new agent: 192.168.1.100 

* An ID for the new agent 
[001]: 001 
... 
Confimi adding it? (y/n) : y 

Il tool ritornerà quindi all'interfaccia ini- 
ziale. Stavolta digitiamo "E" per generare 
la chiave di autenticazione per l'agente 
appena creato. Anche in questo caso il 
procedimento è guidato: 

Choose your action: A,E,L,R -i 
or Q: E 
Available agents: 



Windowsl, IP: 192.168.1.100 
Provide the ID o 
to extract the k 
to quit) : 001 

Agent key information -■ 
for x 001' is: 
MDAxIFBDLVdpb . . . 

La chiave appena generata sarà quella di 
volta in volta richiesta in fase di installa- 
zione dell'agente sui vari host della rete. 
Per ogni nuovo client ne genereremo una 
ad hoc. > 



_ AGENTS 



Per Microsoft Windows l'eseguibile da 
scaricare ed installare lo troviamo all'indi- 
rizzo www.ossec.net/files/ossec-agent- 
win32-2.3.exe. 

In fase di installazione abilitiamo Pintegri- 
ty checking e disabilitiamo il monitoring 
dei log di MS (fatti salvi i casi in cui vi sia 
effettiva necessità, ad esempio nell'ipote- 
si in cui il nostro host Windows fosse un 
ulteriore od il singolo server web). 
Conclusa l'installazione in classico ed 
inconfondibile stile Microsoft (Avanti, 
Avanti, Fine) si presenterà di fronte ai 
nostri occhi l'Agent Manager. In questa 
schermata dovremo inserire l'indirizzo IP 
del server OSSEC e l'Auth Key. 



Windows Agent impostando il Tipo di 
Avvio su "Automatico". 



Manage View Help 
Ossee HIDSv2.3- 



Àgent: Àuth key noi imported (0) ■ 

Status: Require irnpon of aufhentication key. 
Missing OSSEC Server IP address. 
• Not Runni ng... 



OSSEC Server IP: Il 92.1 68.1. 10| 



Authentication key: M2MTki kMl N|f'V0Q== 



http://www.os sec.net 



'OSSEC Agent Manager su Microsoft 
Windows in fase di abilitazione dell' host 
come Agente dell'HIPS. 
La pressione del tasto Save ed un click 
su Manage -> Start OSSEC è più che 
sufficiente per far sì che l'agente assuma 
vita autonoma. 

Per abilitare l'agente direttamente all'av- 
vio del sistema modifichiamo attraverso 
services.msc il servizio "OSSEC Hids 



Abilitiamo ravvio automatico del/Agente 
modificando l'apposito valore. 



NradrfmUe Ducivi 
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A questo punto la postazione Windows 

appena configurata farà parte della rete 

OSSEC. 

Per testare l'effettiva operativa 

dell'agente, dal server digiti' 

# /var/www/ossec /bin/agent_ -i 
control -le 

OSSEC HIDS agent_control . -i 
List of available agents: 

ID: 000, Name: www. -i 
gf home . info ( server ) , IP : ■ 
127.0.0.1, Active/Local 

ID: 001, Name: PC-Windowsl, 
IP: 192.168.1.100, Active 



UNIX AGENTS 

Il procedimento di seguito illustrato 
riguarderà l'installazione dell'agente su 
host Linux, BSD, Solaris e Mac. 
La distro utilizzata in quest'esempio è 
Gentoo. Resta inteso che questo det- 
taglio è di scarso interesse in quanto il 
processo qui descritto sarà lo stesso per 
qualsiasi distribuzione. 

Il pacchetto da scaricare sarà quello 
usato in fase di installazione del server. 
Semplicemente, appena richiesto, defini- 
remo come "agent" il tipo di installazione 
desiderata: 
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[root@pluto ~]# wget http:// 
-i www.ossec.net/files/ossec- 
hids-2.3.tar.gz 
[root@pluto ~]# tar zxvf - 
ossec-hids-2 . 3 . tar .gz 
[root@pluto ~]# ed ossec- 
hids-2. 3/ 

[ root@pluto ossee -hids - 2 . 3 ] # 
-i./install.sh 

Come fatto per il server selezioniamo 

l'italiano come lingua per l'installazione e 

procediamo. 

Commenteremo di seguito ogni singolo 

passaggio dell'installazione: 

Digitiamo "agent" alla richiesta del tipo di 
installazione da effettuare. 
Stavolta definiamo "/var/ossec" la direc- 
tory entro cui installare l'agente. 
Inseriamo l'indirizzo IP del server OSSEC 
(nel nostro caso 1 92.1 68.1 .1 0). 
Attiviamo syscheck, rootcheck ed 
Active Response digitando "s" a tutte le 
richieste. 

Diamo invio per concludere la configura- 
zione e dare inizio alla compilazione. 

Dopo qualche istante, a compilazione 
completata, dovremmo ricevere in output 
le seguenti informazioni relative all'instal- 
lazione appena effettuata: 



- Configurazione terminata cor- 
rettamente . 

- Per avviare OSSEC HIDS: /var 
/ossee /bin/ossec -control start 

- Per arrestare OSSEC HIDS: 
/var/ossec /bin/ossec -control 
stop 

- La configurazione può essere 
vista o modificata in /var/ 
ossec/etc/ossec . conf 

Grazie per aver scelto OSSEC 
HIDS. 



Impostiamo quindi l'awio dell'agente al 
boot inserendo "/var/ossec/bin/ossec- 
control start" nell'apposito file di init della 
nostra distribuzione. 



utilizzando anche sull'agente "mana- 
ge_agents": 

[root@pluto ossec-hids-2.3]# /var/ossec/ 
bin/manage_agents 

(I)mport key from the i 

server (I) . 

(Q)uit. 

Choose your action: I or Q: I 

Paste it here (or *\q' to -i 
quit) : MDAyIFBDLU2cpbnV4MSAx. . . 

Confimi adding it? (y/n) : y 
Added. 

Avviamo pertanto il Client: 

[root@pluto ossec-hids-2 . 3 ] # 
/var/ossec /bin/ossec- -« 
control start 
Starting OSSEC HIDS v2.3 
(by Trend Micro Ine . ) . . . 
Started ossec-execd. . . 
Started ossec-agentd. . . 
Started ossee- logcollector. . . 
Started ossee -syscheckd. . . 
Completed. 

Dal server testiamo, infine, l'operatività 
dell'agente: 

# /var/www/ossec/bin/agent_ -i 
control -le 

OSSEC HIDS agent_control . 
List of available agents: 

ID: 000, Name: www. gf home, 
info (server), IP: 127.0.0.1, 
Active /Locai 

ID: 001, Name: PC-Windowsl, 
IP: 192.168.1.100, Active 

ID: 002, Name: PC-Linuxl, 
IP: 192.168.1.132, Active 

Ripetendo sia il procedimento illustrato 
qui che quello per Agenti Windows, 
metteremo via via tutti i nostri host sotto 
l'occhio vigile di OSSEC. 



DSSEC WUI 



host non è decisamente la scelta più 
comoda. 

Avere l'opportunità di utilizzare un'inter- 
faccia che riassuma lo stato del network 
ci risparmierà indubbiamente molto 
tempo, consentendoci, peraltro, di avere 
un quadro d'insieme della situazione ag- 
giornato in tempo reale e visibile in ogni 
parte del globo. 

Seguendo quindi la roadmap prefissata, 
occupiamoci di installare il frontend web 
di OSSEC sfruttando Apache. 

I più attenti si ricorderanno che OpenB- 
SD gestisce Apache in un ambiente 
totalmente isolato dal resto del sistema 
(chroot). Da qui, piuttosto che utilizzare 
un numero considerevole di link simbo- 
lici, abbiamo preferito installare OSSEC 
direttamente nella root del server Web (/ 
var/www). 

Questo ci permetterà di rendere l'instal- 
lazione della WUI molto più snella, non 
dovendoci preoccupare dell'impossibilità 
da parte di Apache di accedere a directo- 
ry esterne al suo environment di lavoro. 

Scarichiamo quindi il tarball dell'interfac- 
cia Web (al momento della scrittura di 
questo articolo giunta alla versione 0.3) 
ed installiamola sul Server: 

# ed /var/www/htdocs/ 

# wget http://www.ossec.net/fi 
les/ui/ossec-wui-0.3.tar.gz 

# tar zxvf ossee -wui- 0.3. tar. gz 

Awiamo lo script di setup per impostare 
l'autenticazione richiesta quando acce- 
diamo alle pagine della WUI: 

# ed ossec-wui-0.3 

# . /setup. sh 
Setting up ossee ui.. 
Username: giovarmi 
New password: 
Re-type new password: 
Adding password for user 
giovanni 
Setup completed successfuly. 



Installato l'agente sull'host generiamo, 
come visto prima, un'ulteriore chiave di 
autenticazione per il Client appena con- 
figurato. Fatto questo, abilitiamo l'host 



Leggere gli alert via posta elettronica e 
via terminale farà sicuramente molto nerd 
ma nel caso di reti complesse e carat- 
terizzate dalla presenza di innumerevoli 



Modifichiamo ora il file di configurazione 
(ossec_conf.php), indicando il percorso 
di OSSEC che nel nostro caso sarà, pro- 
prio per le constatazioni relative all'am- 
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biente chroot fatte prima, "/ossee". 
Viste le nostre necessità la restante parte 
della configurazione è più che sufficiente: 
la lasceremo pertanto invariata. In defi- 
nitiva il file dovrà risultare così: 

$ossec_dir=" /ossee"; 
$ossec_max_alerts_per_page 
= 1000; 
$ossec_search_level =7; 
$ossec_search_time = 144" " 
$ossec_refresh_time =90 

Un rapido collegamento con un qualun- 
que browser al server web (nel nostro 
caso 1 92.1 68.1 .1 0) all'indirizzo http://-/ 
ossec-wui-0.3/index.php ci confermerà 
immediatamente la riuscita dell'instal- 
lazione. 




L'homepage della WUI ci mostra un rie- 
pilogo degli ultimi eventi e log analizzati 
e dei file modificati (integrity check). 

La struttura della WUI è piuttosto sem- 
plice. Essa si avvale di un'interfaccia 
suddivisa in 5 schede: Main, Search, 
Integrity checking, Stats, About. 
Escludendo l'ultima, ognuna di queste 
offre preziose informazioni relative ai 
dati raccolti da OSSEC e dai vari agenti 
nella nostra rete. 

Nella home è proposto un quadro d'in- 
sieme dove sono visualizzati gli ultimi 
alert, la lista degli agenti attivi disponi- 
bili e gli ultimi file modificati (integrity 
check). 

Su quest'ultimo punto spenderemo 
qualche parola. Durante il processo di 
installazione degli agenti e del server 
stesso, i file "caldi" del sistema sono 
tutti firmati digitalmente dall'applicati- 
vo. In sostanza è generata una coppia 
di hash (SHA1 ed MD5) associata ai 
singoli file predetti che li identifica in 
modo univoco insieme al loro conte- 



La modifica di questi ultimi, volontaria 
o meno che sia (si pensi ad esempio 
per Windows all'operato di trojan, virus, 
etc. e per Linux a backdoor, exple " 
similia), determinerà necessariam 
la generazione di un hash diverso, 
denziando l'avvenuto cambiamento. 

È proprio su questo elementare pre- 
supposto che si basa il controllo di 
integrità (integrity checking) condotto 
da OSSEC. 

Nell'esempio proposto in figura, rela- 
tivo alla scheda "Integrity checking" 
della WUI, possiamo appunto osser- 
vare il checksum fatto al primo avvio 
dall'agente ospitato sul PC montante 
Microsoft Windows. 

A sinistra è indicato il file monitorato, al 
centro è possibile visualizzare la coppia 
di hash associata allo stesso ed a de- 
stra la dimensione. 




// controllo di integrità dei file analizzati 
dall'agente montato su Windows. 

In caso di modifica degli stessi, natural- 
mente, sarà generato un apposito alert 
informativo. Anche se la probabilità di 
falsi positivi in questo contesto è molto 
alta, è sempre auspicabile prestare par- 
ticolare attenzione a questo genere di 
alert in quanto potrebbe rappresentare, 
con buona approssimazione, un primo 
campanello di allarme circa la compro- 
missione del nostro host da parte di 
malware generico. 

La scheda "Stats" ci offre in una singola 
schermata le statistiche degli alert 
generati dall'HIPS suddivise per livelli, 
regole ed orari. Rappresenta pertanto, 
indubbiamente, un ottimo strumento per 
avere una visione d'insieme della situa- 
zione del nostro network in tempo reale. 



IOhk Stai» lor; ttlOAtjrròO 






Le statistiche degli alert generati rappre- 
sentano un ottimo strumento offerto al 
net admin per monitorare costantemente 
la situazione generale dell'intera rete. 

Infine, nella scheda "Search", è possibile 
ricercare singoli eventi ed alert generati. 
Nell'esempio proposto in figura abbiamo 
focalizzato la nostra attenzione su SSH. 




La funzionalità di ricerca consente di 
visualizzare unicamente gli alert di nostro 
interesse. 



3 2 1 
CIAK, AZIDNE! 

i 
Dopo questo excursus tra configurazio- 
ni ed installazioni è giunto il momento 
di testare sul campo l'affidabilità della 
soluzione OSSEC. Fedelmente a quanto 
analizzato nel corso dell'intero articolo 
effettueremo alcuni attacchi contemplati 
dalle regole analizzate. 

Oggetto di nostro interesse in questa 
sede saranno pertanto i riscontri ai 
seguenti: 

Tentativi di accesso non autorizzati (di 
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seguito TANA) su protocollo SSH. 
Scanning effettuati con Nikto a website e 
web apps. 

Segfault di applicativi su Windows. 
Controlli di integrità su Windows. 

Per ognuno dei punti succitati analizze- 
remo il comportamento di OSSEC con- 
statando anche come l'operato di Active 
Response stronchi sul nascere qualsiasi 
tentativo di attacco ai sistemi, coordinan- 
dosi in modo perfettamente autonomo 
con PF ed OpenBSD. 



1 - TANA SU 
PRDTDCDLLD SSH 



Per testare il comportamento di OSSEC 
in caso di attacchi brute force al proto- 
collo SSH utilizzeremo uno dei tantissimi 
script disponibili online: mtsshbrute.py 
che trovate disponibile per il download 
sul nostro sito. 

Lo script, scritto in python, consente di 
inoltrare multiple richieste di accesso 
in base ad utenti e password definite in 
appositi file che fungono da dizionario. 
Supportando il threading inoltre ci con- 
sente di velocizzare di molto l'operato. 

Avviamo pertanto lo script come di 
seguito: 

$ python mtsshbrute.py -H mOle. 

it -p 22 -U users.txt -P 

dizionario.txt -T 2 

[*] SSH Brute Force Ninja 

[*] 1 user(s) loaded. 

[*] 10 password (s) loaded. 

[*] Brute Force started. 



Osserviamo quindi il comportamento 

dell'HIPS. 

Come ci aspettavamo la generazione 

degli alert (via terminale, mail e WUI) ci 

informa puntualmente dell'accaduto: 

** Alert 1269215496.1998: mail 

- syslog, sshd, authentication_ 

failures, 

2010 Mar 22 17:13:30 www->/ 

var / log/authlog 

Rule: 5720 (level 10) -> *Mul 

-i tiple SSHD authentication 



failures. ' 

Src IP: 93.42.111.226 

User: root 

Mar 21 17:13:30 www sshd[3094] : 

Failed password for root from 

93.42.111.226 port 26991 ssh2 

Mar 21 17:13:29 www 

sshd [11785] : Failed password 

for root fram 93.42.111.226 -i 

port 35545 ssh2 




Un tipico esempio di avviso offerto 
dall'interfaccia web di OSSEC. 

Dopo poco, inoltre, la modalità A.R. si 
preoccupa di bloccare in modo definitivo 
l'IP che origina l'attacco aggiungendolo 
nel file hosts.deny e nella tabella ossec_ 
fwtable di PF: 

# tail -f /var /www/ ossee/ 
logs/active-responses . log 
Sun Mar 21 17:13:30 CET 
2010 . . ./host-deny.sh add -i 
93.42.111.226 1269188010. 
38989 5720 

Sun Mar 21 17:13:30 CET -• 
2010 .. ./firewall -drop. sh add 
-i 93.42.111.226 1269188010. 
38989 5720 

# pfctl -t ossec_fwtable --i 
T show 

93.42.111.226 

# cat /etc /hosts.deny 
ALL:93.42.111.226 



\ - WEB SERVER 
SCANNING 

In questo caso utilizzeremo Nikto per 
analizzare il web server da remoto speci- 
ficando come parametro di avvio l'abilita- 
zione delle tecniche di IDS evasion: 

# ./nikto. pi -evasion 1 -h 



m01e.it 



Celermente il sistema di alerting ci 
notifica svariati errori riscontrati nel 
file di log degli accessi di Apache: 

Rule: 31151 fired (level 10 
-i) -> «Mutiple web server 
400 -i error codes from same 

source ip . " 
Portion of the log(s): 
93.42.111.226 - [22/ i 
Mar/2010:01:06:15 +0100] 
"GET /f Sf6Npjt.dat HTTP/ 
1.0" 404 206 
93.42.111.226 - [22/ -i 
Mar/2010:01:27:14 +0100] -i 
"GET /fSf6Npjt/ HTTP/1.0" -i 
404 203 

93.42.111.226 - [22/ -i 
Mar/2010:01:27:14 +0100] -i 
"GET /fSf6Npjt.UploadServlet 
-i HTTP/1.0" 404 216 



Interessante constatare che, qualora 
avessimo Mod_Security abilitato, 
non mancherebbero avvisi relati- 
vi anche a quest'ultimo, come di 
seguito: 

2010 Mar 22 01:06:02 www->/ 

var/www/logs/error_log 
Rule: 30118 (level 6) -> 
'Access attempt blocked by 
Mod Security. ' 

TMon Mar 22 01:06:01 
_J10] [error] [client 
93.42.111.226] mod_security: 



Dopo il chiasso fatto da Nikto, arriva 
puntuale come sempre la risposta 
del firewall: 

tail -f /var/www/ossec/ 
logs/active-responses . log 
Mon Mar 22 01:06:15 CET 
2010 .../host-deny.sh add --i 
93.42.111.226 1269216362. -i 
4217 30118 

Mon Mar 22 01:06:16 CET 
2010 .. ./firewall -drop, 
sh add - 93.42.111.226 



1269216362, 



4217 30118 
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# pfctl -t oss 
-T show 
93.42.111.226 

# cat /etc/hosts.deny 
ALL:93.42.111.226 



3 - SEG FAULT 

SU MICRDSDFT 

WINDDWS 

In questa circostanza osserveremo 
comportamento di OSSEC quando i... 
agente (in questo caso quello collo- 
cato sul PC montante Windows) invia 
informazioni relative a processi ed 
eventi dell'host entro cui è attivo. 
Simuleremo pertanto un crash di un 
generico applicativo suscettibile ai 
Buffer Overflow vedendo come l'HIPS 
intercetti l'apposito evento generato 
come Windows Event Log dal sistema 
immediatamente dopo il segfault. 

Per far ciò utilizzeremo un banale 
sorgente che si commenta da solo (o 
almeno si spera), scritto per lo scopo: 

ttinclude <stdio.h> 
main() { 
char buf [3] ; 
gets(buf ) ; 
return 0; 
} 

Compiliamo, avviamo ed inseriamo 
qualche carattere in più per constatare 
l'effettivo crash del "programma". 
Un'occhiata agli alert ci riconfermerà 
la meticolosità di OSSEC: 

2010 Mar 22 01:40:11 (PC-i 
Windowsl) 192.168.1.100-1 
>WinEvtLog 

WinEvtLog: Application: 
ERROR(IOOO): Application Er- 
ror: (no user) : no domain: 
XXX: Nome dell'applicazio- 
ne che ha generato l'erro- 
re: bof.exe, ... timestamp: 
0x4ba61368 Nome del modulo 
che ha generato 1 ' errore : ... 
timestamp: 0x00000000 Codice 
eccezione: 0xc0000005 Offset 
errore 0x61616161 




L'inserimento di una strine,., 
dimensione del buffer causa, in 
mente, il crash del programma. 



- INTEGRITY 
CHECKING 

Dal momento che Windows si presta 
bene ai nostri scopi esemplificativi, 
il nostro punto di riferimento sarà 
anche in questo caso l'agente "PC- 
Windowsl". 

Replicando il comportamento di un 
generico malware vedremo, operati- 
vamente, in cosa consiste il controllo 
di integrità condotto dall'HIPS, ana- 
lizzando, come fatto finora, un alert 
generato. 

La prima cosa che ci viene in mente 
di fare è modificare un file di sistema 
andandone a variare il checksum 
storicizzato da OSSEC in fase di 
primo avvio dell'agente. 

Di seguito quindi l'immediato riscon- 
tro offerto dopo averne editato a 
mano uno a caso: "C:\Windows\win. 



Integrity checksum changed 
for: X C: \Windows /win.ini' 
Size changed from x 403' to i 
M09' 

Old md5sum was: *f 3cb8893d927 
cb8edeee792928ecdlc9' 



New md5sum is 



l 40flbbl0f0 



f C378289c3aaa722fb6d49 ' 
Old shalsum was: x 24b0cl56a97 
-i 4b4101304e51a6055d623- 
b000a65d' 
New shalsum is : x 24cl5861a4 

e25e34013ffc7f38f8b2fbc8- 
df6be8' 

Il discorso è del tutto simile, ovvia- 
mente, per eventuali variazioni al 
registro di sistema. 
Lasciamo al lettore le prove del caso. 



CDNCLUSIDNI 
E RIFERIMENTI 

appaiono evidenti le avanzate caratteri- 
stiche e peculiarità offerte dall'applicativo 
in qualunque contesto operativo; di gran 
lunga alla pari, se non migliori, rispetto 
alle alternative commerciali generalmente 
adoperate in contesti enterprise. 

Risulterà quindi quasi scontato capire 
che, malgrado il discorso intrapreso 
sulla rivista sia stato pensato per offrire 
un quadro dell'HIDS quanto più esteso 
possibile, la quantità di azioni e processi 
gestibili da OSSEC è talmente notevole 
da rendere anche la nostra trattazione 
limitativa. 

A 



Come abbiamo avuto modo di segnala- 
re, la documentazione è davvero tanta 
così come altrettanto grosse sono le 
possibilità offerte dalla suite. Anche qui, 
quindi, segnaliamo alcuni riferimenti, da 
intendersi come complementari a quelli 
già offerti nella prima parte di qur _i ~ 
articolo. 

Non ci resta che augurarvi buon diverti- 
mento e buona sperimentazione! 



RIFERIMENTI 

Website relativi agli applicativi analizzati: 
OpenBSD PF: www.openbsd.org/faq/pf/ 



Nikto: cirt.net/nikto2 
Mod_Security: modsecurity.org 

Alcune riferimenti online utili: 

Buffer Overflow: www.siforge.org/ 
articles/2003/04/1 5-bofexp.html 

Buffer Overflow (2): www.owasp.org/ 
index.php/Buffer_Overflow 



Ulteriori riferimenti: 
Hacker Journal nr. 195 
"Buffer Overflow" 
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MDBILE 

UN □TTIMn PROGRAMMA SCRITTO IN 



JAVA PER MDNITDRARE CELLULARI 



VULNERABILI VIA BLUETDDTH. 



_■ 



i piacerebbe collegar- 
vi via bluetooth ad un 
cellulare "vittima" ed 
utilizzare la sua connet- 
tività per inviare sms, 
fare chiamate, tutto gratuitamen- 
te, oppure per impadronirvi della 
rubrica di quel telefono o di altri 
dati? 

Potreste riuscirvi con Blooover 
(HYPERLINK "http://trifinite.org/ 
trifinite_stuff_blooover.html" 
http://trifinite.org/trifinite_stuff_ 
blooover.html) l'icona a forma di 
aspirapolvere rende un po' l'idea 
delle funzionalità insite in questo 
programma. Si tratta sostanzial- 
mente di uno strumento di audi- 
ting per cellulari scritto in java 
(nella sezione download del sito 
potete scaricare tutte le versioni 
che pesano pochi KB). 
Il fatto di essere stato scritto na- 
tivamente in Java consente a Blo- 
oover di essere, in linea teorica, 
multipiattaforma, ovvero suppor- 
tato da tutti i telefoni java con 
MIDP2 (mobile Information Device 
Profile). 



LE FUNZIDNI 



Questo programma nasce con 
l'intento di rivelare telefoni vulne- 
rabili, quindi come strumento di 
monitoraggio, ma, chiaramente 
può essere reverse-engineered 



ooo 

trifinite.stuff 



trtflntta.aig | irHmiM.biog | tffflpRa.grùvp I trttlnl_.iii.it i trHrdu.ieui* | £rtflnna.dai»nldadc | trttlnlta.alti^m | trtflnlta.ij 



i Dùwnkiad* 
i □' r iC>nnTicr 



Blooover 
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per scopi meno edificanti. 
Sembrerebbe tutto bellissimo 
però tutto sommato Blooover ha 
una capacità di attacco limita- 
ta, in effetti i modelli attaccabili 
con successo sono pochi, quelli 
dichiarati sono piuttosto datati si 
tratta di: 

Nokia 6600, Nokia 7610, Sony Eri- 
csson P900 e Siemens S65. 
E' evidente come tutti questi te- 
lefoni risalgano grosso modo agli 
anni 2005/2006 ovvero il periodo 
in cui è stato rilasciato il program- 
ma che poi, a dire il vero, è stato 
aggiornato poco. 
Comunque per non farci mancare 
nulla abbiamo fatto una prova in- 
stallando la versione bredder (che 
trovate naturalmente sul sito) su 



un recente Nokia N95 che abbia- 
mo utilizzato come attaccante. 
La vittima designata è stata iden- 
tificata in un vecchio Nokia 660 
che è tornato buono per l'utilizzo. 

LA PROVA 

Dopo avere inviato via bluetooth il 
file .jar dal computer al Nokia N95 
e avere installato il programma, 
abbiamo lanciato Blooover. 

La schermata iniziale propone una 
serie di opzioni: 

Find Devices 

Settings 

Reports 
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Breed Blooover2 



About Blooover II 
Exiet Blower II 
Scegliendo Find Devices o Breed 
Blooover2 il programma inizia la 
scansione dei terminali con la por- 
ta bluetooth attivata. Nel nostro 
caso ha rilevato il Nokia 6600, ma 
anche il computer. 
Una volta evidenziato il nome del 
cellulare "vittima" sul display del 
cellulare "attaccante" nel nostro 
caso il Nokia N95, vengono pro- 
posti una serie di attacchi: 



HELDMDTD 

I cellulari vulnerabili accettano un 
altro cellulare che tenta un trasfe- 
rimento OBEX PUSH. Questo con- 
sente una connessione al profilo 
Headset del cellulare che permet- 
te un accesso non protetto all'AT 
Command PArser. Questa falla è 
stata scoperta nel "lontano" mag- 
gio 2005 da Adam Laurie. 



BLUESNARF 

E' impostato sul profilo OBEX 
Push. Si connette alla maggior 
parte dei servizi OPP e richiede 
nomi di file conosciuti dalle speci- 
fiche Irmc invece di inviare un file 
.vcf. 
La sua scoperta risale al 2003. 



BLUESNARF-, , 

E', come suggerisce il nome, assai 

simile a Bluesnarf. La differenza è 

che nel Bluesnarf ++ l'hacker può 

leggere o scrivere liberamente nel 

filesystem. 

Bluesnarf ++ dà pieno accesso 



per scrivere o leggere quando ci 
si connette all'OBEX Push profile. 
Il filesystem include infine espan- 
sioni di memoria come memory 
sticks o SD card. 



BLUEBUG 



Darser 



Si basa sull'At command parser 
che viene fornito come un servizio 
nascosto utilizzato esclusiva- 
mente per gli auricolari. Bluebug 
permette di leggere e scrivere i 
contatti della rubrica, leggere e 
inviare sms e chiamare un numero 
con il cellulare "attaccato". Que- 
sto attacco è stato scoperto da 
Martin Herfurt nel febbraio 2004, 



MALFDRMED 
DBJECTS 

Con questo tipo di attacco, par- 
ticolarmente dannoso, i cellulari 
vulnerabili si spengono quando 
ricevono per esempio un biglietto 
da visita malformato. 
Questo porta all'instabilità del 
parser del cellulare e spesso por- 
ta a comportamenti imprevedibili 
(incluso il crash del cellulare). 

Gli attacchi attivi presentano un 
segno di spunta. Non vi resta 
che selezionare il tipo di attacco 
partendo magari da BlueBug e 
scegliere Select. Blooover inizierà 
a lavorare sul cellulare vittima. 
Nel nostro caso abbiamo optato 
per le impostazioni di default con 
un attacco combinato Helo moto, 
Bluebug e Bluesnarf. Blooover in 
fase di scansione ci ha chiesto se 
volevamo utilizzare la connettività 
del cellulare vittima (perfetto) però 



sul Nokia 6600 è stato visualizzato 
un messaggio in cui si invitava 
l'utente ad accettare un messag- 
gio blueetoth da un altro cellulare. 
Insomma, ci vuole un po' di colla- 
borazione... 

Dando l'ok in effetti Blooover ha 
dato accesso alla rubrica e ha 
consentito l'invio di SMS, a sbafo, 
con Bluebug. E' consigliabile 
utilizzare un attacco per volta 
perché, ad esempio, se il cellulare 
vittima non è dotato di connet- 
tività Blooover si chiude senza 
eseguire altri attacchi combinati. 
Si tratta naturalmente di una 
prova circoscritta. Però il pro- 
gramma è a disposizione per fare 
esperimenti di vario tipo, magari 
fateci sapere le vostre esperienze, 
siamo curiosi... 
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